😈 Ликбез по распространенным Client-Side уязвимостям

Client Side-уязвимости — слабые места или ошибки в ПО, на стороне пользователя (обычно в контексте веб-браузера или мобильного приложения), которые можно использовать для атак или несанкционированного доступа к системе.

В данном материале будут рассматриваться:
· как в разных ситуациях манипулировать веб-сайтом так, чтобы передавал пользователям вредоносный JavaScript.
· как скомпрометировать администратора сайта, отправив ему личное сообщение;
· как атаковать разом всех пользователей при помощи комментария под статьей;
· как заставить пользователя отправить запрос на действия, которые он не собирается выполнять;
· как прослушивать WebSocket-соединения;

В общем, под катом вас ждет рассказ про распространенные уязвимости на стороне клиента и некоторые методы Client-Side защиты.

🗣 Ссылка на чтиво

❗ Также прикрепляю другие полезные материалы по Client-Side уязвимостям:
- Уязвимость XSS: определение и предотвращение
- Уязвимость CSRF: исследуем межсайтовую подделку запроса
- Руководство по пентесту WebSocket
- Поиск уязвимостей IDOR (BOLA)

#XSS #CSRF #IDOR #CSWH | 🧑‍💻 Этичный хакер

😈 Призрачный администратор: как хакеры захватывают контроль над WordPress-сайтами

‼️ На более чем 5000 сайтов WordPress выявлена вредоносная кампания, в ходе которой злоумышленники создают фальшивые учётные записи администратора, устанавливают вредоносные плагины и похищают данные

— После компрометации сайта вредоносный скрипт из указанного домена создаёт учётную запись администратора с именем wpx_admin, а её данные сохраняются в коде

Затем скрипт загружает и активирует вредоносный плагин под названием plugin.php с того же домена

🗣 Ссылка на чтиво

#WordPress #Vulnerability #Malware #News #CSRF | 🧑‍💻 Этичный хакер