WEBHACKING/web
Bugbounty) 사례 분석 XSS-2)
1) Yahoo Mail : 10000$.. https://klikki.fi/adv/yahoo2.html Yahoo Mail stored XSS #2 Yahoo Mail stored XSS #2 Dec 08, 2016 A security vulnerability in Yahoo Mail was fixed last week. The flaw allowed an attacker to read a victim's email or create a virus infecting Yahoo Mail accounts, among other things. The attack required the victim to v klikki.fi : 야후 메일에는 "share files from cloud providers" 라는..
Bugbounty) 사례분석 XSS -1)
1. 구글 클라우드 XSS - 5000$ 짜리!! https://blog.it-securityguard.com/bugbounty-sleeping-stored-google-xss-awakens-a-5000-bounty/ [BugBounty] Sleeping stored Google XSS Awakens a $5000 Bounty | Patrik Fehrenbach Dear Readers, Today I want to share a short write-up about a stored cross-site scripting (XSS) issue I found on the Google Cloud Console. I consider it a lucky find. Some of you may remember the..
Bug Bounty) Naver Cafe XSS - 실패ㅋ
일단 xss를 넣어볼수 있는 곳에 최대한 넣어보기로 했다. 1) 가입안내 : 애초에 html 태그를 사용할수 없다고 명시되어 있다. 다 걸러버리는 듯 하다 실제로도 다른 아이디로 접속해보니 전부 그대로 보여진다. 2) 제목: 여기서 필터링도 해보고, 인코딩도 해봤는데 여기서도 잘 안됐다. 3) 닉네임 : 애초에 특수문자를 넣을수가 없었다. 4) 채팅 : 좀 색다른 것도 넣어봤는데 역시나 실패. 5) 등급 변경후 이유 작성란 뭔가 취약하게 생겨서 해보았지만... 왜 변경이유를 적는지 모르겠다. 카페 멤버 등급이 바뀐후에 이유가 보여지는줄 알았지만 아니었다. 6) 카페 이름 : 될리는 없는데...뭔가 웃겼다. 7) 댓글 : 당연 필터링이 되어있다. 게시물 작성은 건드리지도 않음..ㅋㅋ 8) URL: 철저하게..