Retrospective: Joomla accounts modification and other disasters.
Hi, guys!
Hi, guys!
Всем привет. Сегодня я хочу рассказать об одной уязвимости в TeamCity от JetBrains, весть о которой прошла почти не замеченной и осталась в тени. Что, как мне кажется, довольно странно, учитывая проблемы, которые несет за собой эксплуатация этой уязвимости.
Для тех кого не интересует преамбула, можете мотать вниз поста, там все эксплоиты, блэкджеки и прочее.
Все доброго дня. Сегодня на повестке небольшой гайд о том, как можно узнать IP адрес собеседника в клиентах ICQ и QIP. Хоть аська давно уже не пользуется былой популярность, но все же еще много дел решается на её поприще. У меня, например, была потребность вычислить одного недобросовестного менеджера магазина. Теперь делюсь этим способом с вами. Хочу заметить, что все ниже сказанное касается только десктопных клиентов. На мобильных не тестировал.
Для того чтобы осуществить наш замысел нам понадобиться сервер. Для этого можно взять любой хостинг, который предоставляет тестовый период. Легко гуглится по запросу “хостинг тестовый период”. Я взял beget.
Итак идея в следующем: большая часть современных клиентов ICQ поддерживают bb-коды в сообщениях. Это довольно удобно (прислать код, например) + помогает разбавить серость переписки. Так вот в QIP имеется код img, который позволяет вставить картинку в текст сообщения. Угадайте, что? Картинка подгружается клиентом, то есть получателем сообщения. Теперь вы уже наверное догадались зачем нам хостинг.
Всем доброго здоровья. Сегодня мы поговорим с вами о такой проблеме, как “Некорректное использование операторов сравнения и динамическая типизация данных в PHP”. А точнее о том, как можно это использовать для обхода авторизации в веб приложениях. Те, кто крутится в теме ИБ, про это уже неоднократно слышали, возможно, не под таким страшным названием, а под названием PHP Magic Hash. Это не какое-то открытие Америки, а дабы собрать все мысли по этому вопросу в одном месте.
Let’s go my little friends!
Для начала небольшое вступление о самой проблеме. Впервые, 5 лет назад об этом заговорил Gregor Kopf http://blog.nibblesec.org/2010/12/typo3-sa-2010-020-typo3-sa-2010-022.html.