🥷 Как эксплуатировать сложные XSS?

Команда Intigriti регулярно проводит челленджи, в рамках которых багхантеры во всем мире пытаются проэксплуатировать не самые тривиальные баги. Некоторые из них публикуют подробные райтапы 👇

🔗 Читать блог Damjan Smickovski
🔗 Читать GitHub Gist Sissel

#writeup #bugbounty #ctf

Вы же знаете про Ghostscript? Это инструмент, который используется для предварительного просмотра и печати документов в формате PostScript/PDF. Естественно, его под капотом используют в веб-приложениях для рендеринга PDF-документов. Вы даже можете не знать, что веб-приложение его использует 🤔

Команда Codean Labs опубликовала уже второе исследование по теме — читайте, учитесь и вдохновляйтесь:

1️⃣ CVE-2024-29510 — Exploiting Ghostscript using format strings
2️⃣ CVE-2024-29511 — Abusing Ghostscript’s OCR device

#CVE #writeup