THT DUYURU

Hall Of Fame Bug bounty kapsamında elde edilen ödüllerin paylaşılabileceği bölüm.

Seçenekler

Türk Hack Team Xss Vulnerability #2 | LETRX

LETRX - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
01/2010
Nereden:
Tromsø
Yaş:
20
Mesajlar:
351
Konular:
49
Teşekkür (Etti):
124
Teşekkür (Aldı):
184
Ticaret:
(0) %
21
4808
04-06-2020 21:37
#1
Selamlar uzun zaman önce profil kısmında self ile alert verdirmiştim. Yine aynı şekilde forumun başka bir yerinde self xss buldum. Bu açık uzun zaman önce kapandı. Bende yayınlama gereği duydum.



Durum : Fix

PoC

---------------------
Abracadabra


These are the dreams that scars are made of
Is it too much to ask to win just once?

lyxG, PW, M3m0ry, Hichigo, PourLa, #!/, 1RdyR Teşekkür etti.
lyxG - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2019
Mesajlar:
194
Konular:
16
Teşekkür (Etti):
43
Teşekkür (Aldı):
172
Ticaret:
(0) %
04-06-2020 21:43
#2
Yılların eskitemediği insanlardan
--------------------- ASTIK BAYRAĞIMIZI YOL VER TÜRKÜN BAYRAĞINA!
PW
PW - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
12/2018
Nereden:
:C / Adobe
Mesajlar:
758
Konular:
71
Teşekkür (Etti):
1021
Teşekkür (Aldı):
489
Ticaret:
(0) %
04-06-2020 21:53
#3
Ellerine sağlık hocam kulüb kurulsa eğitim konuları açılsa daha faydalı olur. İyi Çalışmalar
--------------------- Hak bir gönül verdi bana, ha! demeden hayran olur.
Bir dem gelir şadan olur, bir dem gelir giryan olur.
Quey87 - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
08/2018
Nereden:
Texas
Yaş:
19
Mesajlar:
419
Konular:
68
Teşekkür (Etti):
63
Teşekkür (Aldı):
91
Ticaret:
(0) %
04-06-2020 21:57
#4
eline sağlık, bu payloadları nereden buluyorsun daha önce görmemiştim.
--------------------- Açığı olmayan tek sistem evrendir

Hacked By Quey87
whatamnotsaying - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
03/2020
Mesajlar:
411
Konular:
47
Teşekkür (Etti):
232
Teşekkür (Aldı):
148
Ticaret:
(0) %
04-06-2020 21:58
#5
Self xss'e ne kadar güvenlik açığı diyebiliriz bilmiyorum tarayıcı konsoluyla aynı yetkiye sahip değil mi? Ödül veriliyorsa heralde bi bildikleri vardır?..

Gene de ellerine sağlık
aSpy Teşekkür etti.
LETRX - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
01/2010
Nereden:
Tromsø
Yaş:
20
Mesajlar:
351
Konular:
49
Teşekkür (Etti):
124
Teşekkür (Aldı):
184
Ticaret:
(0) %
04-06-2020 22:10
#6
Alıntı:
lyxG´isimli üyeden Alıntı Mesajı göster
Yılların eskitemediği insanlardan
Eskidir bir sigar gibi.


Alıntı:
Pasworm´isimli üyeden Alıntı Mesajı göster
Ellerine sağlık hocam kulüb kurulsa eğitim konuları açılsa daha faydalı olur. İyi Çalışmalar
Şuanda aklımda öyle birşey yok hocam arada konuları açıyorum.


Alıntı:
Quey87´isimli üyeden Alıntı Mesajı göster
eline sağlık, bu payloadları nereden buluyorsun daha önce görmemiştim.
Kendim uygun yerlere yazıyorum böylelikle çalışması daha yüksek oluyor.



Alıntı:
whatamnotsaying´isimli üyeden Alıntı Mesajı göster
Self xss'e ne kadar güvenlik açığı diyebiliriz bilmiyorum tarayıcı konsoluyla aynı yetkiye sahip değil mi? Ödül veriliyorsa heralde bi bildikleri vardır?..

Gene de ellerine sağlık

Bir işe yaramayan açıktır Fakat self xss'i storede veya reflectede dönüştürülebiliyor bu durumda açığın riski artıyor. (:

Küçük açıkları gözden gelmeyin. Herşey küçük şeylerle başlar ve büyür.
---------------------
Abracadabra


These are the dreams that scars are made of
Is it too much to ask to win just once?

whatamnotsaying - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
03/2020
Mesajlar:
411
Konular:
47
Teşekkür (Etti):
232
Teşekkür (Aldı):
148
Ticaret:
(0) %
05-06-2020 18:50
#7
Alıntı:
LETRX´isimli üyeden Alıntı Mesajı göster
Eskidir bir sigar gibi.



Şuanda aklımda öyle birşey yok hocam arada konuları açıyorum.



Kendim uygun yerlere yazıyorum böylelikle çalışması daha yüksek oluyor.






Bir işe yaramayan açıktır Fakat self xss'i storede veya reflectede dönüştürülebiliyor bu durumda açığın riski artıyor. (:

Küçük açıkları gözden gelmeyin. Herşey küçük şeylerle başlar ve büyür.
Abi önce "bir işe yaramayan açıktır" deyip sonra storede veya reflecteda dönüştürülebiliyor diyorsun ama ortada dönüşme yok. Self XSS = Tarayıcı konsolu inanmıyorsanız gidin google.com'da tarayıcı konsolunu açın ve google'ın uyarısını okuyun.

Emeği tebrik ederim ama tevilleri sevmem bu konuda kendime de kızıyorum...

Edit: Google.com'u tekrardan açıp konsolunu kontrol ettim ve öyle bir uyarı göremedim halbuki öyle bir uyarı verdiğini hatırlıyordum hayret ettim. Yanlış anlaşılmasın bu dediklerimi haksız çıkarmıyo.
Konu whatamnotsaying tarafından (05-06-2020 22:13 Saat 22:13 ) değiştirilmiştir.
Dargaaltay - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
03/2019
Mesajlar:
989
Konular:
120
Teşekkür (Etti):
257
Teşekkür (Aldı):
863
Ticaret:
(0) %
05-06-2020 19:59
#8
Eline sağlık
whatamnotsaying - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
03/2020
Mesajlar:
411
Konular:
47
Teşekkür (Etti):
232
Teşekkür (Aldı):
148
Ticaret:
(0) %
05-06-2020 20:03
#9
Alıntı:
aSpy´isimli üyeden Alıntı Mesajı göster
Self xss stored ve reflected'e dönebilir.Çok bilmişlik taslama burada.
Self xss dediğinizi açıklara dönerse self xss değilmiş demek ki bunu demek istiyorum anlamıyorsunuz ki tanımları farklı, kodlar aynı olduğu sürece bu 3 açık türü bir diğerine dönüşemez. Self XSS reflected XSS'e dönerse demek ki self xss değil bunu anlamanızı umuyorum. Yani dönüşmüş olmuyo. Kişi yanlış tanımlamış olduğunu fark edip aa bu self xss değil reflectedmış diye düzeltmiş oluyo dönüşmüş olmuyo.

Ayrıca tarayıcı konsolunun yetki farkıyla self xss'in yetki farkının arasındaki farkı bana ispatlar mısınız? Google dahi self xss olduğunu söylerken neyin bilmişliğini tasladığımı iddaa ediyorsun? Son olarak benim dediklerimi sadece karalayarak yani delil sunmadan kışkırtıyorsan burda kim bilmişlik taslamış oluyo? Delilsiz davaya bakmıyoruz.
Konu whatamnotsaying tarafından (05-06-2020 20:07 Saat 20:07 ) değiştirilmiştir.
samsepiol Teşekkür etti.
LETRX - ait Kullanıcı Resmi (Avatar)
Katılımcı Üye
Üyelik tarihi:
01/2010
Nereden:
Tromsø
Yaş:
20
Mesajlar:
351
Konular:
49
Teşekkür (Etti):
124
Teşekkür (Aldı):
184
Ticaret:
(0) %
05-06-2020 21:21
#10
Alıntı:
whatamnotsaying´isimli üyeden Alıntı Mesajı göster
Abi önce "bir işe yaramayan açıktır" deyip sonra storede veya reflecteda dönüştürülebiliyor diyorsun ama ortada dönüşme yok. Self XSS = Tarayıcı konsolu inanmıyorsanız gidin google.com'da tarayıcı konsolunu açın ve google'ın uyarısını okuyun.

Emeği tebrik ederim ama tevilleri sevmem bu konuda kendime de kızıyorum...
Dostum dönebilir dedim zaten her self xss storede dönse self xss olmazdı bu 1.
Google da söylenen herşeye inanıyorsanız kendi sitemden bu konu hakkında makale yazarım en üstte çıkartırım ozaman böyle mi inanacaksınız bu 2.
Yabancı kişilerin raporlarını okuyorum düzenli olarak ister h1 olsun ister bugcrowd olsun isterse ytde poclar olsun adamlar neler yapıyor neler. Siz daha googlede araştırmaya devam edin başkalarının ne yaptığına bakmayın bu 3.


Kendinizi sadece gogıl amcada self xss nedir ne işe yarar diye yazıp kendinizi kandırmayın bu 4.
forumda bulduğum self xss 'i storede döndürmeye çalıştım döndürdüm de fakat forumda bazı komutlar yasak olduğu için işlemedi örnek (********.domain) ama burda yazan (docum-ent.doma-in) forumda birazda zaman geçirip bunları öğrenseydiniz biraz gelişmiş olurdunuz veya burda bana bu lafı söylemezdiniz bu 5.


Örnek bazı videolar bırakıyorum belki bana burda laf söyleyeceğinize izlemeyi ve öğrenmeyi seçersiniz umarım (:







Alıntı:
aSpy´isimli üyeden Alıntı Mesajı göster
Self xss stored ve reflected'e dönebilir.Çok bilmişlik taslama burada.
Kim ne dediğine inansın dostum kimseyi birşeye inandırmaya çalışmıyoruz icraatimiz burda işimiz burda, teşekkürler (:



Alıntı:
Dargaaltay´isimli üyeden Alıntı Mesajı göster
Eline sağlık
Sağolun.


Alıntı:
whatamnotsaying´isimli üyeden Alıntı Mesajı göster
Self xss dediğinizi açıklara dönerse self xss değilmiş demek ki bunu demek istiyorum anlamıyorsunuz ki tanımları farklı, kodlar aynı olduğu sürece bu 3 açık türü bir diğerine dönüşemez. Self XSS reflected XSS'e dönerse demek ki self xss değil bunu anlamanızı umuyorum. Yani dönüşmüş olmuyo. Kişi yanlış tanımlamış olduğunu fark edip aa bu self xss değil reflectedmış diye düzeltmiş oluyo dönüşmüş olmuyo.

Ayrıca tarayıcı konsolunun yetki farkıyla self xss'in yetki farkının arasındaki farkı bana ispatlar mısınız? Google dahi self xss olduğunu söylerken neyin bilmişliğini tasladığımı iddaa ediyorsun? Son olarak benim dediklerimi sadece karalayarak yani delil sunmadan kışkırtıyorsan burda kim bilmişlik taslamış oluyo? Delilsiz davaya bakmıyoruz.
Gerekli açıklamaları sana yukarıda yaptım dostum iyi günler (:
---------------------
Abracadabra


These are the dreams that scars are made of
Is it too much to ask to win just once?

RaZoR247, byp4rs Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler