Testing for Cross site scripting with XSStrike
XSStrike is a good tool to help you find the cross site scripting (XSS) on the web application, it’s really simple and easy to use.
Tag / Security
Bypass the basic math Captcha
When I’m looking for the code of simple Captcha for my personal project, I found this solution: http://html-tuts.com/simple-php-captcha/. The idea of this Captcha is simple, user needs to input the correct value of basic calculating: A+B
Malicious redirect & bypass “Redirect Notice” at Google.com
The last few months, when I’m working around with “Open Redirect” vulnerability, I found something interesting that a hacker can bypass confirmation page and redirect the user to the malicious website by using the Google.com domain.
Text injection on form
Đây là một lỗi khá thú vị, nó có thể được dùng để khai thác và đánh lừa người dùng (phishing).
XSS vulnerable at Lozi.vn
Vừa rồi tôi có đọc một bài viết trên Tuổi trẻ với nội dung Lozi.vn nhận đầu tư triệu đô nên cũng tò mò muốn xem trang web của họ thế nào, nhưng có vẻ Lozi cũng chưa quan tâm nhiều đến bảo mật web, họ không dùng bất kỳ bộ lọc dữ liệu nào để ngăn chặn XSS.
Bypass XSS filters at Tiki
Sau khi nhận được email thông báo lỗi XSS của tôi, Tiki có sửa lỗi nhưng hiện tại lỗi XSS trên Tiki vẫn có thể vượt qua bộ lọc để khai thác tiếp. Đây là chi tiết cách tôi đã Bypass XSS filters trên Tiki.
Cross-site Scripting at Tiki.vn
Hôm nay mình sẽ demo về một lỗ hổng đang có trên trang Tiki.vn có thể cho phép hacker chiếm lấy tài khoản người dùng thông qua lỗi XSS. Hôm trước mình có lên web Tiki để xem sản phẩm, là tester nên cũng có chút bệnh nghề nghiệp nên sẵn tiện mình kiểm tra sơ qua xem trang web có lỗi gì không, kết quả là phát hiện ra một lỗi khá thú vị về XSS này.