-
Posts
180 -
Joined
-
Last visited
-
Days Won
5
Everything posted by Domnul.Do
-
Foarte interesant .
-
Nu cred ca asta e rezolvarea , dar e un XSS si acesta (nu se poate exploata,este folositor numai prin log-uri)
-
Am confirmat aceasta metoda. La ora 01:30 PM (28-04-2013) am trimis un pm cu un email denumit in avantajul ambelor parti (el a inceput emailul si eu l-am continuat,in asa fel incat sa nu fie folosit de altcineva) La ora 01:40 PM (28-04-2013) am primit confirmarea de la el ca a fost sters . Metoda este valida,numai ma pot autentifica , am folosit un cont in care am trimis 1 HUF . Aceast concept a decurs fara interactiunea mea. Dar aparent: daca am fost logat in paypal,inainte sa aplice conceptul pe email-ul respectiv,ma lasa sa intru in el dar nu ma lasa sa ma autentific . Update: Am incercat sa dau : "I don't know my password" si nu merge . Update #2: Da,merge sa imi fac un cont de pe acelasi email. Bani numai sunt in cont,este ca si un cont nou,cred ca inseamna ca a fost sters server side.
-
Acuma depinde in ce categorie este situata vulnerabilitatea. Pentru un redirect , se recompenseaza cu 350$ (confirmat) la restul inca nu stiu , deoarece inca nu au validat .
-
Pe ce email ai trimis? Deoarece si eu am facut de 2 ori aceasi prostie. Aici e vorba de responsible disclosure , pana cand nu este remediata problema nu pot publica problema exacta altfel pierd dreptul la HoF Da , au HoF : Acknowledgements - Nokia OffTopic: Am primit un raspuns ciudat , sa le arat un exemplu cum se poate exploata aceasta vulnerabilitate. Probabil face parte din procedura/protocolul lor.
-
Vulnerabilitate : XSS Categorie: Self XSS (posibil persistent) Stare: Raportat P.o.C:
-
Oricum interesant thread! Offtopic: Probabil o sa gaseasca si respectivul(a) acestea cu timpul,dar am vrut sa ajut comunitatea , wildchild a inceput initiativa si intentia mea este sa ajut si eu la randul meu. Da,dar cand te prezinti la interviu , este un plus pentru tine ca ai gasit ceva , te evidentiezi din multime si prin aceste descoperiri. Aici sunt de acord cu tine,dar ca un exemplu: Detini o firma care presteaza serviciu pentru siguranta offline a informatilor utilizatorilor pentru intreprinderea de care ai fost angajata. Dar domain-ul tau este vulnerabil la un atac de tip LFI . Cum poti sa spuni tu ca oferi siguranta informatilor cand tu ai o mare problema in domeniul tau?! Desigur,probleme apar dar domeni-ul tau este fata ta comerciala. Daca doriti sa faceti un reply offtopic , mai bine trimite-mi un pm deoarece dupa parerea mea acest thread este destul de bun.
-
La respectivul ales de tine pot sa ii ofer si XSS-urile gasite , este luat in serios mai bine deoarece eu nu am ce face cu ele.
-
Dar adresa este vulnerabila la XSS , ironie . Oricum este un gest frumos din partea ta wildchild deoarece oferi un post de lucru bun. +1 Rep. Update: Sunt 8 XSS-uri in total, in main domain si un sub domain . Asta este o dezamagire totala.
-
Care este criteriu/clasificarea la "Severity" ?
-
Cred ca stiu de cine e vorba , este vorba de Ashar ? Ca sa nu fie un offtopic total: In cand timp ai primit un feedback? Un "human feedback" , nu unu automat.
-
Nu este nimic spectaculos ,nu este munca mea, este 0-Day care a aparut acuma recent de altcineva. P.o.C:
-
Te felicit! Chiar am cautat de ceva timp in domeniul respectiv si nu am gasit nimica , dar adevarul este ca nici nu mam gandit la un DOM XSS Update: +1 rep
-
<meta http-equiv="refresh" content="0;URL='http://rstforums.com/'">
Domnul.Do replied to magicbv's topic in Cosul de gunoi
<sarcasm> nu stiu de ce dar cand am vazut acest thread , am fost redirectionat catre rstforums.com </sarcasm> -
Buna ziua si tie , stimate Claudiu din Sibiu .
-
Te pot ajuta eu, trimite un pm daca vrei in PayPal
-
Da,feedback-ul lor automat lam primit . Am si 'mail-ul' la ei dar pana cand ajunge la validare propriu-zisa dureaza o perioada de timp.
-
Cateva in cms.PayPal.com si restul sunt 'non Xss'
-
Mai are rost sa te felicit ?! O sa dureze pana cand valideaza , am deja 4 rapoarte la ei de jum de an
-
Social Engineering Skype Support team to hack any account instantly
Domnul.Do replied to akkiliON's topic in Stiri securitate
Blogul original,o alta perspectiva: How easy it is to Socially Engineer Microsoft Skype Support | PhrozenSoft Blog -
Nu pot sa zic exact suma ,dar o sa ai un bug bounty de $500 sau $1,337 . Felicitari si daca ai nevoie cu formularul W8BEN , ai aici la Update #1
-
Dami te rog email-ul prietenului tau,sa ii raportez un XSS. Intr-adevar un site minimalistic si bun.
-
Un site bine structurat. Am sa ma uit la el.