06.08.2018, 22:39
|
|
Постоянный
Регистрация: 18.03.2016
Сообщений: 663
С нами:
5344886
Репутация:
441
|
|
Сообщение от Octavian
↑
После смены пароля редиректит на ataker.ru
Скорее всего, токен, после сброса пароля, станет невалидным, по крайней мере, так оно должно работать
Сообщение от Octavian
↑
Есть другие идеи эксплуатации?
Если редиректит незаметно, без ворнингов, то фишинг вполне может пройти.
Сообщение от Octavian
↑
PS Также Бурп видет XML injection увидев DNS обращениепри при вводе xml с инклудом в host, обрашение приходит с IP Roundcube, Можете помоч?
Этот момент не совсем ясен, нужно подробное описание или скриншоты. В качестве теста, можно попробовать заслать какой-нибудь простенький пейлод типа:
И чекнуть резолв или реквест своего хоста в логах.
|
|
|