Chủ Nhật, 23 tháng 10, 2016

Kết hợp Open Redirect trong việc khai thác lỗ hổng bảo mật

open-redirects-xss-tomasz
Chương trình Bug Bounty của Google (VRP) thường xuyên nhận được các báo cáo lỗi có đề cập tới open redirect (chuyển hướng mở). Mặc dù bản thân chúng không được xem xét là lỗ hổng bảo mật, chúng tôi nhận ra rằng open redirect có thể được sử dụng để khai thác các lỗ hổng khác như XSS hoặc OAuth Token Disclosure.
Read More
vào lúc Không có nhận xét nào:

Thứ Năm, 20 tháng 10, 2016

Cảnh báo về một "huyền thoại lừa đảo" chuyên lợi dụng uy tín người khác

0888840979-lua-dao

Dạo gần đây, chính xác là từ khoảng tháng 7-8 thì tớ nhận được mấy cảnh báo từ Facebook rằng có ai đó đang giả mạo tài khoản Facebook, kẻ đó lập tài khoản với tên và hình đại diện giống hệt với tài khoản mà tớ đang sử dụng.
Read More
vào lúc Không có nhận xét nào:

Thứ Bảy, 15 tháng 10, 2016

FAQ: Các câu hỏi liên quan về việc sử dụng extension của Juno_okyo

Cài đặt add-on/extension như thế nào?

Bạn có thể tìm và cài đặt extension của tớ bằng cách tìm theo từ khóa juno_okyo hoặc j2team trên Chrome Store hoặc nhấn vào liên kết trực tiếp tới Store từ các bài viết giới thiệu trên Blog này.
Read More
vào lúc Không có nhận xét nào:

Thứ Bảy, 8 tháng 10, 2016

X đã để lộ thông tin cá nhân của 3 triệu người dùng như thế nào?


Lời mở đầu: Trong lúc trao đổi về việc công bố bài viết chi tiết thì tôi đã nhận lời với bên X là sẽ không chỉ đích danh một công ty, tổ chức nào trong bài này. Dù sao thì, những trải nghiệm thực tế trong việc phân tích và truy tìm hung thủ... à nhầm, truy tìm lỗ hổng mới là những thứ giá trị nhất mà tôi muốn chia sẻ với các bạn. Vậy nên một cái tên gọi thì đâu có gì quá quan trọng đúng không nào?!
Read More
vào lúc Không có nhận xét nào:

Thứ Sáu, 7 tháng 10, 2016

J2TeaM Security - Tiếp nối sự thành công của Facebook Protector

j2team-security-chrome-extension-by-juno-okyo
Cài đặt extension J2TeaM Security cho trình duyệt để bảo vệ bạn khỏi các loại mã độc gửi tin nhắn, tự động tag toàn bộ bạn bè trên Facebook.
Read More
vào lúc Không có nhận xét nào:

Thứ Năm, 6 tháng 10, 2016

Cảnh báo về lỗ hổng bảo mật XSS chưa được vá trong WordPress

Theo nguồn tin cảnh báo từ group HVA thì WordPress đang dính lỗ hổng bảo mật Stored XSS cực kỳ nghiêm trọng tại phần bình luận và bài viết (cụ thể là ở tiêu đề của bài viết). Tớ đã xác nhận lại bằng cách kiểm thử với phiên bản WordPress 4.6.1 trên Localhost.

wordpress-security-xss-vulnerability
Lỗ hổng ảnh hưởng tới các phiên bản từ 4.6.1 trở xuống (tức là bao gồm cả phiên bản mới nhất). Hiện tại phía WordPress chưa có bản cập nhật nào.

Với hai lỗ hổng XSS này, hacker hoàn toàn có thể tải web-shell lên trang web của bạn. Xem video demo trong bài viết này để hình dung được mức độ nguy hiểm.
Read More
vào lúc Không có nhận xét nào: