Jump to content
Tata123

Google Vulnerability

Recommended Posts

Presupun ca vulnerabilitatea este in form-ul de pe careers.google.com. :)) Macar acum stiu sigur ca acel mesaj este automat. 

Share this post


Link to post
Share on other sites
1 hour ago, Tata123 said:

=))) nimic nu e apreciat in aceasta comunitate, vai de pla voastra :D


Din ce vad acolo ai luat la rand toti vectorii posibili fara sa ai idee ce-nseamna fiecare,  nu-ncerc sa fiu critic, pentru ca poate esti baiat destept. Am si eu niste curiozitati totusi, pentru ca eu sunt mai prostut.

Din ce vad ai folosit urmatoarele doua treburi pe acolo:
 

1. <body onload=alert(/xss/,source)>
2. alert(String.fromCharCode(88,83,83))


Care-i treaba cu al 2-lea argument dat la primul alert(), ce ar trebui sa faca? 
Also, daca sunt cazuri in care passezi la Alert un String direct si iti merge, de ce mai folosesti si String.fromCharCode()? O fi oare pentru ca ai copiat tot ce-ai prins, sau esti mai destept decat pari?

 

  • Haha 1

Share this post


Link to post
Share on other sites
5 minutes ago, c3m3d3 said:


Din ce vad acolo ai luat la rand toti vectorii posibili fara sa ai idee ce-nseamna fiecare,  nu-ncerc sa fiu critic, pentru ca poate esti baiat destept. Am si eu niste curiozitati totusi, pentru ca eu sunt mai prostut.

Din ce vad ai folosit urmatoarele doua treburi pe acolo:
 

1. <body onload=alert(/xss/,source)>
2. alert(String.fromCharCode(88,83,83))


Care-i treaba cu al 2-lea argument dat la primul alert(), ce ar trebui sa faca? 
Also, daca sunt cazuri in care passezi la Alert un String direct si iti merge, de ce mai folosesti si String.fromCharCode()? O fi oare pentru ca ai copiat tot ce-ai prins, sau esti mai destept decat pari?

 

Hai sa o luam altfel, exista vreo problema in modul in care am actionat? Atat timp cat eu stiam ca exista o vulnerabilitate, sau cum vreti voi sa ii spuneti, in acel subdomeniu ce mai conteaza ce cod am folosit ? Ce conteaza ca am luat niste coduri javascript de pe github sau w3school? TOT CE CONTEAZA ESTE FAPTUL CA ACOLO ESTE O VULNERABILITATE GASITA DE MINE SI DOAR DE MINE, IMI PARE DIN CE IN CE MAI RAU CA IMPARTASESC CU VOI "DESCOPERIRILE MELE" !!!

Share this post


Link to post
Share on other sites
Just now, Tata123 said:

Hai sa o luam altfel, exista vreo problema in modul in care am actionat? Atat timp cat eu stiam ca exista o vulnerabilitate, sau cum vreti voi sa ii spuneti, in acel subdomeniu ce mai conteaza ce cod am folosit ? Ce conteaza ca am luat niste coduri javascript de pe github sau w3school? TOT CE CONTEAZA ESTE FAPTUL CA ACOLO ESTE O VULNERABILITATE GASITA DE MINE SI DOAR DE MINE, IMI PARE DIN CE IN CE MAI RAU CA IMPARTASESC CU VOI "DESCOPERIRILE MELE" !!!


Am inteles. Eram doar curios cum am spus.

Spune-mi totusi, daca ai fi intrebat sa explici cum poate fi reparata respectiva vulnerabilitate cum ai raspunde daca tu nu intelegi ce o genereaza in primul rand? Si mai rau, nici nu pare ca doresti sa vrei sa-ntelegi.

"Ce conteaza ce cod am folosit". Cum adica nu conteaza? Conteaza, conteaza foarte mult. iti zic eu ca primul vector enuntat mai sus, nu o sa functioneze cum ti-ai dorit, pentru ca functia Alert() ia un singur parametru. Ar functiona doar un contextul in care ai variabila source definita pe undeva, dar nu ar afisa-o, in caz contrar ti-ar da un refference error frumos.

Ce ai facut tu acolo este foarte foarte messy, conteaza mult si cat de eleganta este solutia ta.

Eu nu incercam sa te descurajez, ci doar sa te-ndemn sa-ntelegi mai bine ce se-ntampla, pentru ca iti usurezi viata.

Cheers!

  • Upvote 2

Share this post


Link to post
Share on other sites
8 minutes ago, c3m3d3 said:


Am inteles. Eram doar curios cum am spus.

Spune-mi totusi, daca ai fi intrebat sa explici cum poate fi reparata respectiva vulnerabilitate cum ai raspunde daca tu nu intelegi ce o genereaza in primul rand? Si mai rau, nici nu pare ca doresti sa vrei sa-ntelegi.

"Ce conteaza ce cod am folosit". Cum adica nu conteaza? Conteaza, conteaza foarte mult. iti zic eu ca primul vector enuntat mai sus, nu o sa functioneze cum ti-ai dorit, pentru ca functia Alert() ia un singur parametru. Ar functiona doar un contextul in care ai variabila source definita pe undeva, dar nu ar afisa-o, in caz contrar ti-ar da un refference error frumos.

Ce ai facut tu acolo este foarte foarte messy, conteaza mult si cat de eleganta este solutia ta.

Eu nu incercam sa te descurajez, ci doar sa te-ndemn sa-ntelegi mai bine ce se-ntampla, pentru ca iti usurezi viata.

Cheers!

A gasit si pe el undeva chestia asta si atat, crezi ca isi va da interesul pentru ceva? Deja l-ai bagat in ceata.

@Tata123 nu te mai plange ca o fetita de 6 ani si mars la munca cum spune @Gecko.

 

Share this post


Link to post
Share on other sites
2 minutes ago, c3m3d3 said:


Am inteles. Eram doar curios cum am spus.

Spune-mi totusi, daca ai fi intrebat sa explici cum poate fi reparata respectiva vulnerabilitate cum ai raspunde daca tu nu intelegi ce o genereaza in primul rand? Si mai rau, nici nu pare ca doresti sa vrei sa-ntelegi.

"Ce conteaza ce cod am folosit". Cum adica nu conteaza? Conteaza, conteaza foarte mult. iti zic eu ca primul vector enuntat mai sus, nu o sa functioneze cum ti-ai dorit, pentru ca functia Alert() ia un singur parametru. Ar functiona doar un contextul in care ai variabila source definita pe undeva, dar nu ar afisa-o, in caz contrar ti-ar da un refference error frumos.

Ce ai facut tu acolo este foarte foarte messy, conteaza mult si cat de eleganta este solutia ta.

Eu nu incercam sa te descurajez, ci doar sa te-ndemn sa-ntelegi mai bine ce se-ntampla, pentru ca iti usurezi viata.

Cheers!

Hai sa iti mai zic una buna, inteleg  ce se intampla in acel form, inteleg ca informatia nu este filtrata indeajuns si de aceea s a ajuns la asta. Nu sunt arogant, asa reactionez eu cand cineva ma face sa par inferior. In orice caz, imi place sa invat lucruri noi, daca tu crezi ca ma poti invata ceva ce eu nu stiu la momentul actual (excludem programarea pt ca nu ma pasioneaza), accept cu mare placere. :D :D:D 

Share this post


Link to post
Share on other sites
Just now, .Breacker said:

A gasit si pe el undeva chestia asta si atat, crezi ca isi va da interesul pentru ceva? Deja l-ai bagat in ceata.

@Tata123 nu te mai plange ca o fetita de 6 ani si mars la munca cum spune @Gecko.

 

Prietene, cel mai bine pentru tine ar fi sa ti comentariile pentru  cine iti permite. Si ca sa ti spun ceva persoanal, imi castig proprii bani de ani buni :D, si bani frate, nu mizilicuri de minim pe economia pe care ii primesti tu :D

Share this post


Link to post
Share on other sites
6 minutes ago, Tata123 said:

Prietene, cel mai bine pentru tine ar fi sa ti comentariile pentru  cine iti permite. Si ca sa ti spun ceva persoanal, imi castig proprii bani de ani buni :D, si bani frate, nu mizilicuri de minim pe economia pe care ii primesti tu :D

Acum m-as gandii sa intarat cu o expresie din asta : Moama ce ti-a zis, eu nu ii permiteam.Dar mai oamenilor haideti sa ne intelelem si noi si sa nu ne mai laudam cu ce avem si ce facem. Toti aici suntem egali, dar poate in viata reala unul este mai sus decat altul.Eu am venit aici sa postez proiecte de ale mele, cat si sa invat ceva.Si eu la primele post-uri am luat Hate , dar nu m-am lasat si am mai postat intre timp cate ceva.Dupa ce ca multii dintre utilizatorii acestui forum ba sunt guest-uri ba sunt utilizatori intregistrati nu multi comenteaza si dau Vote.

Edited by mDOS

Share this post


Link to post
Share on other sites
Just now, Tata123 said:

Prietene, cel mai bine pentru tine ar fi sa ti comentariile pentru  cine iti permite. Si ca sa ti spun ceva persoanal, imi castig proprii bani de ani buni :D, si bani frate, nu mizilicuri de minim pe economia pe care ii primesti tu :D

Daca vroiai sa le inchizi gura, explicai intr-o maniera profi ce te-a intrebat mai sus c3m3d3, sa fi venit si cu rezolvarea "vulnerabilitatii" respective, nu sa te iei in gura cu ei, ca o baba-n coltu' blocului.

Cu aroganta nu faci nimic fara un background solid in spate, acum te vor lua toti la poola.

  • Upvote 1

Share this post


Link to post
Share on other sites
6 hours ago, Tata123 said:

Prietene, cel mai bine pentru tine ar fi sa ti comentariile pentru  cine iti permite. Si ca sa ti spun ceva persoanal, imi castig proprii bani de ani buni :D, si bani frate, nu mizilicuri de minim pe economia pe care ii primesti tu :D

Prietene banii pe care tu ii faci ar putea fi sosetele mele. Vrei sa ne laudam sau ce? Lucrez ca, consultant financiar in Germania, daca vrei sa ne aratam skill-urile in mediul online.

Mars la munca in continuare si nu mai veni cu abureli de 2 bani pe aici. Imi permit sa ma adresez oricui atata timp cat am dreptul la exprimare, ai vreo problema o raportezi, avem administratori aici.

Share this post


Link to post
Share on other sites
10 hours ago, Tata123 said:

=))) nimic nu e apreciat in aceasta comunitate, vai de pla voastra :D

Oamenii care invata ceva si stiu exact ce fac sau stiu ce asteptari sa aibe sunt de apreciat, adica developerii. Nu persoanele ca tine care vin sa-mi gadile mie inputurile pe site. La cat de aleatoriu apar, nu e nimic de apreciat in ceea ce faci. Efectiv exista tooluri care fac automat ce faci tu.

 

Nu-mi cere mie sa te apreciez ca bagi date pe care nici nu le intelegi pe deplin in toate inputurile dintr-o interfata. Stiu ca ti se pare super hard ceea ce faci, am fost si eu in faza aia, dar daca ai sa mergi pe calea dezvoltarii la un moment dat, ai sa-mi intelegi punctul de vedere.

 

In alta ordine de idei, te-au intrebat 2 baieti deja daca poti executa JS si nu le-ai raspuns. Tu crezi ca faptul ca poti adauga un buton fara argumente sau un h1 intr-un email inseamna ca ai gasit XSS? Toate injectiile tale au fost sterse de ceea ce se numeste un HTML Purifier, care scoate tot ce nu e binevenit, pentru cazurile alea cand ai nevoie sa lasi cateva taguri active, dar sa scoti anumite atribute sau elemente.

 

In concluzie, nu numai ca n-ai gasit nimic acolo, dar te-ai mai si ratoit nejustificat.

 

9 hours ago, Tata123 said:

Si ca sa ti spun ceva persoanal, imi castig proprii bani de ani buni :D, si bani frate, nu mizilicuri de minim pe economia pe care ii primesti tu :D

Quote doar pentru ca ma amuza si nu voiam sa stergi de la tine.

Share this post


Link to post
Share on other sites

Gata frate, i-ati dat cu gugalu in cap, asta a fost ultima lui postare, imi aminteste de vremurile bune ale forumului, nostalgia asta.

 

 

Cheats for samp si puterea dragostei nu sunt compatibile cu profilul unui meserias priceput in vulnerabilitati web din punctul meu de vedere, cred ca putem fi de acord cu aceasta afirmatie. Trebuie lucrat la mentalitate si apoi la cunostiinte, ce rost are sa folosesti niste vectori si nici sa nu stii ce fac, sau cum poti exploata vulnerabilitatea mai departe, nu te ajuta la nimic, nu demonstrezi nimic, si eu pot sa scriu alea intr-un input si habar nu am ce sa fac mai departe, nu poti fi eligibil pentru un bug bounty pentru ca nu o sa stii sa il repari sau sa demonstrezi ce poti face cu el.

  • Haha 1
  • Upvote 2

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...