techhub.social is one of the many independent Mastodon servers you can use to participate in the fediverse.
A hub primarily for passionate technologists, but everyone is welcome

Administered by:

Server stats:

4.6K
active users

#xss

1 post1 participant0 posts today

✨ Fórum de Cibercrime XSS: A Volta do Perigo na Dark Web!
📝 Um novo fórum de cibercrime, focado em ataques XSS, está ganhando destaque na dark web após um recente ataque. Descubra como esses grupos operam e as implicações para a segurança cibernética. Não fique desinformado sobre as ameaças que podem afetar seus dados! Clique para saber mais e se proteger!
.
.
#Cibersegurança #XSS #DarkWe...
inkdesign.com.br/forum-de-cibe

Fórum de cibercrime XSS reemerge em dark web após ataque
INK|DESIGN NEWS · Fórum de cibercrime XSS reemerge em dark web após ataqueBy Tiago F Santiago

Реализация RCE-атаки на сервер. Указанный подход не логируется nginx/Apache и легко ускользает от глаз админа.

#red_team #XSS #RCE

- Вставка XSS-пейлоада в поле профиля, расчёт на срабатывание в интерфейсе администратора.
- Администратор открывает панель, пейлоад выполняется и отправляет куки/информацию злоумышленнику через его XSS-инфраструктуру.
- Используя добытые данные (например, токен сессии), атакующий получает доступ к админке веб-приложения.
- Через административную панель он загружает shell.php с простым PHP-обработчиком команды через $_GET.
- Далее попытка прямой передачи команды в URL (например, ?cmd=whoami), сервер заблокировал вызов или обрезал параметр.
- Модификация оболочки для выполнения команды из заголовка Accept-Language.
- Далее отправляется запрос с заголовком Accept-Language: id; cat /etc/passwd и получается вывод команды.

Доступ к файлам, выполнение системных команд и т.д.

Подробности в статье (is4curity.medium.com/from-blin).

Medium · From Blind XSS to RCE: When Headers Became My TerminalBy Mahmoud El Manzalawy