В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

1190 membersпожаловаться на группу
2020 November 18

SN

S N in WebPwnChat
Web Security
Тестирую слепую SSRF через хэдер X-Wap-Profile: http://site.com
http://site.com - приходит пинг по http
Любой другой URI префикс xyz:// - пинга вообще нет, но ответ на запрос приходит
ftp:// и file:// - ответа на запрос нет, но таргет резолвит dns моего site.com
И как бы что дальше?
импакта нет
источник
19:19пожаловаться#1

VV

Vitaly Vitaly in WebPwnChat
ID:0
Тут дядьки из Epieos показали бесплатный сервис по пробиву номера телефона в Signal/Skype/Telegram.

Возможно, добавят еще всякие Facebook/Instagram и прочие соцсеточки. Наблюдаем :)
Теперь они соберут базу соответствий IP:телефон
источник
19:37пожаловаться#2

AS

Andrew Sparks in WebPwnChat
Web Security
Тестирую слепую SSRF через хэдер X-Wap-Profile: http://site.com
http://site.com - приходит пинг по http
Любой другой URI префикс xyz:// - пинга вообще нет, но ответ на запрос приходит
ftp:// и file:// - ответа на запрос нет, но таргет резолвит dns моего site.com
И как бы что дальше?
gopher
источник
19:38пожаловаться#3

WS

Web Security in WebPwnChat
Andrew Sparks
gopher
Я все uri прогнал, на gopher нет реакции
источник
19:59пожаловаться#4
2020 November 19

P

PP in WebPwnChat
cheatsheets / report templates / mindmaps и прочее на тему BugBounty.

https://info.ninadmathpati.com/
Ninadmathpati
Security Workbook on Application Security
Here's a small collection of resources on Application Security, This work is still in progress, will be completed soon. Need to add many things here.
источник
03:02пожаловаться#5

👾0

👾 0x1 in WebPwnChat
ситуация: на сервере нет waf какого либо, гружу файл типа file.php.png, перехожу по пути загруженного файла и получаю 500 ошибку, если грузить 1.shtml.png или подобное, откроет как битую имагу, работает только с php,php5 и тд.
что можно предпринять ? (контент файла  <?php phpinfo();?>)
источник
03:04пожаловаться#6

P

PP in WebPwnChat
брутфорсить все варианты
источник
03:06пожаловаться#7

👾0

👾 0x1 in WebPwnChat
какая может быть причина 500 ошибки?
источник
03:06пожаловаться#8

P

PP in WebPwnChat
Ну в хтацес может написано что то
источник
03:06пожаловаться#9

P

PP in WebPwnChat
"оттуда нельзя php"
источник
03:06пожаловаться#10

👾0

👾 0x1 in WebPwnChat
странно
источник
03:07пожаловаться#11

P

PP in WebPwnChat
<Files *.php>
   Order Deny,Allow
   Deny from all
</Files>
источник
03:08пожаловаться#12

P

PP in WebPwnChat
че странного?
источник
03:08пожаловаться#13

P

PP in WebPwnChat
___github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Upload%20Insecure%20Files#php-extension
источник
03:10пожаловаться#14

👾0

👾 0x1 in WebPwnChat
PP
<Files *.php>
   Order Deny,Allow
   Deny from all
</Files>
это да, но выдало бы 403
источник
03:11пожаловаться#15

P

PP in WebPwnChat
Ну модреврайт может быть
источник
03:11пожаловаться#16

P

PP in WebPwnChat
елси есть в урле пхп в такой то папке
источник
03:11пожаловаться#17

P

PP in WebPwnChat
кинуть 500
источник
03:12пожаловаться#18

P

PP in WebPwnChat
Из тех входных данных что вы предоставили это самое логичное обьяснение - фильтр. А дальше надо смотреть )
источник
03:12пожаловаться#19

👾0

👾 0x1 in WebPwnChat
понял
источник
03:13пожаловаться#20