Few months ago, while testing some html, I was noticed by a straight behaviour in Firefox. If you disable javascript and open a website, the content inside <noscript> tag does not render as html. Yahoo use crumb as a token to validated that the request is valid and trusted. You can fetch personal data with […]
Cũng kha khá thời gian kể từ bài viết trước. Thanh niên rảnh rỗi ngày xưa xin chia sẻ các bạn cách mà mình dùng để truy cập vào hệ thống mail của một ngân hàng, tạm gọi là Zbank nhé. Dông dài cái, vì công việc nên dạo rồi mình có mở tài khoản […]
Trước đây mình chưa từng nghe qua Chợ Tốt, tháng trước thấy báo chí đưa tin Chợ Tốt bán mình vào xem thử có gì hay ho. Lỗi lần này thực sự không có gì, chỉ đơn thuần là sự dư thừa dữ liệu trả về từ API. Quá trình tìm lỗi Như mọi lần, […]
Chào các bạn, lại là mình =)) Website được nhắc đến lần này là vietnamworks.com (VNW). Tương đối hot với một thằng đang thất nghiệp như mình :((. Post này đã được viết từ lúc mình phát hiện bugs, gồm thông tin chi tiết về những lỗi mình dùng để exploit Vietnamwork. Tuy nhiên đến […]
Mục tiêu lần này là một trong những site thương mại điện tử lớn của Việt Nam. Vì đã hứa với bên đó là không public thông tin mà sẽ review lại dưới dạng ẩn danh, nên mình sẽ gọi website đó là Z (X bị lấy ví dụ nhiều quá, nên không nỡ :> […]
Tiếp tục series tìm bug nà. Lần này là lỗi bảo mật trên chuỗi cửa hàng của thế giới di dộng, gồm thegioididong.com, vuivui.com, dienmayxanh.com… Hôm nọ quỡn lướt face, thì ẩn hiện đâu đấy cái link share hay like gì của VuiVui.Com. Cũng nhớ mang máng là nghe qua ở đâu rồi, thôi thì […]
Số là được gửi cho cái link ebook trên alezaa. Đăng kí tài khoản xong vọc thì lòi ra mớ Bug XSS. Với XSS thì ta có thể dễ dàng chiếm session của người dùng, bằng việc gửi link bug tới ai có tài khoản mà có nhiều book thì tha hồ đọc nhé 😀
Nhân dịp thất nghiệp, freelance cũng đình đốn, ngồi toilet buồn muốn khóc thì chợt nhớ về mấy bài report về bug của Vietnamwork, lotte, lozi hay mấy site khác của Việt Nam. Thế là nảy ra cái suy nghĩ, hay thử tìm lỗi mấy site lớn của VN xem sao. Vậy là mọi chuyện bắt […]