انجمن تیم امنیتی ایران سایبر

نحوه تزریق User-agent سایت Hackerone

شروع موضوع توسط irUnd3rgr0und ‏24/5/19 در انجمن ویدیو های آموزشی آزمایشگاه امنیت

  1. لطفا فایل های خود را جهت ماندگاری در انجمن اپلود کنید در صورت مشاهده لینک اپلود خروجی , تاپیک حذف خواهد شد .
    بستن اطلاعیه
بستن اطلاعیه


درود مهمان گرامي؛

مهمان گرامي، براي مشاهده تالار با امکانات کامل ميبايست از طريق ايــن ليـــنک ثبت نام کنيد .

حامی مسابقات و برگزار کننده دوره های پیشرفته ارزیابی امنیت برای سازمان ها فتح پرچم (CTF)
  1. irUnd3rgr0und
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏22/5/19
    ارسال ها:
    2
    تشکر شده:
    9
    جنسیت:
    محل سکونت:
    تهران
    Name:
    Anonymous
    Main os:
    Windows
    باسلام

    در این آموزش شمارو با نحوه ناامن بودن User-Agent سایت hackerone آشنا می کنم ، اگر قبلا مراجعه کرده اید میدونید این سایت از نظر امنیتی بالایی برخورداره و کاربرای زیادی روزانه مراجعه می کنند پس خود سایت هم دارای ضعف هایی است یکی از این موارد همین agent اون هست مهاجم اگر پرم صفحه ای دیگری از اونو پیدا کنه که user agnet اون در دسترس باشه میتونه اون صفحه رو ناامنتر کنه و دسترسی بیشتری برای کارهاش پیدا کنه ، برای مثال من روی Paypal همچنین موردی رو بر خوردم و با کمی تغییرات در صفحه اون تونستم دستورات بیشتری رو run کنم پس این موارد رو مدنظر داشته باشین.


    پسورد : iran-cyber.net
     

    پیوست ها:

    Danger BoY، blackops و JOK3R از این ارسال تشکر کرده اند.
  2. hosthost
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏15/8/15
    ارسال ها:
    15
    تشکر شده:
    23
    Name:
    :(
    Main os:
    Windows
    دوست عزیز اند پوینت برای نمایش این قسمت باید وارد سیستم شوید یا اینکه ثبت نام نمایید جوری رفتار میکنه که باید بکنه پارامتر user-agent که به درستی escape میشه و در مقابل self-xss مقاوم هست در مورد paypal هم لطفا POC | GTFO :)
     
    blackops از این پست تشکر کرده است.
  3. EmileJom
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏26/9/19
    ارسال ها:
    2
    تشکر شده:
    1
    Name:
    EmileJom
    Main os:
    Fedora
    your idea simply excellent
     
    Unkn0wn از این پست تشکر کرده است.
بارگذاری...
به انجمن تخصصی امنیت ایران سایبر خوش آمدید . برای مشاهده تمامی تالار ها و امکانات ثبت نام کنید .