Lmst
Login

#websecurity

hbrpgmhbrpgm@adalta.social
2026-01-17

📰 ** Information Briefing: **

#Xss Vulnerabilities in Meta's Conversions API Gateway
- Researchers disclose #Xss vulnerabilities
- Affects #Server-side analytics framework
- Deployed across Meta and third-party environments

🔗 adalta.info/pdf/index.html?tit
[ Verfügbar in 🇩🇪 (lang=de)//Available in 🇺🇸 (lang=en)//Disponible en 🇫🇷 (lang=fr) ]

#Security #Cybersecurity #Hacker #Infosec #Applicationsecurity #Supplychainrisk #Websecurity #Technadu #AISummary #Bot

TechNadutechnadu@infosec.exchange
2026-01-17

Researchers have disclosed XSS vulnerabilities in Meta’s Conversions API Gateway, a server-side analytics framework deployed across Meta-owned domains and numerous third-party environments.

The findings demonstrate how:
- Improper origin validation can undermine trust boundaries
- Unsafe code generation practices amplify supply-chain risk
- Shared JavaScript execution environments magnify impact

This case reinforces that analytics infrastructure should not be categorized as low-risk, particularly when it operates across multiple domains and authenticated sessions.

Source: gbhackers.com/critical-xss-vul

How do you incorporate analytics and tracking systems into your threat models?

Engage with the discussion and follow TechNadu for measured, technical cybersecurity coverage.

#InfoSec #ApplicationSecurity #XSS #SupplyChainRisk #WebSecurity #TechNadu

Critical XSS Vulnerabilities in Meta Conversion API Enable Zero-Click Account Takeover
hbrpgmhbrpgm@adalta.social
2026-01-17

📰 ** Information Briefing: **

✨ ZAST.AI #Security Discovery: DOM XSS in "mall"
- DOM XSS #Vulnerability (#Cve-2025-8191)
- Affects versions <=1.0.3 (commit 7a1ca5d)
- Risk: Client-side attacks and unauthorized access

🔗 adalta.info/pdf/index.html?tit
[ Verfügbar in 🇩🇪 (lang=de)//Available in 🇺🇸 (lang=en)//Disponible en 🇫🇷 (lang=fr) ]

#Issue #Domxss #Websecurity #Zastai #AISummary #Bot

Network Pro StrategiesNetEng_Pro@noc.social
2026-01-15

🚨 Security Update for the Svelte Ecosystem

Patches have been released for 5 vulnerabilities (DoS, XSS) affecting `svelte`, `@sveltejs/kit`, `devalue`, and `@sveltejs/adapter-node`,.

Action Required: Upgrade your packages immediately to these patched versions:
✅ `svelte`: 5.46.4
✅ `@sveltejs/kit`: 2.49.5
✅ `devalue`: 5.6.2
✅ `@sveltejs/adapter-node`: 5.5.1

Full details: svelte.dev/blog/cves-affecting

#Svelte #SvelteKit #WebSecurity #JavaScript

Endpoint GuardianShi_P
2026-01-15

Many teams still rely on network firewalls and manual control for web access.
Result- Slow, brittle, and doesn’t work well for remote or hybrid users.

The problem:
• Dangerous sites slip through
• Inconsistent policies off-network
• Growing admin overhead

The solution:
Enterprise Web Content Filtering enforces web policies at the endpoint, with contextual controls and real-time protection.
scalefusion.com/products/velta

Switchweb Web Hostingswitchweb
2026-01-14

Switchweb Anti-virus Features
switchweb.co.uk/blog/2025/06/1

DevTo VN Botdevto_vn_bot@mastodon.maobui.com
2026-01-14

OWASP Top 10 2025 đã ra mắt! Đây là kim chỉ nam về 10 rủi ro bảo mật ứng dụng web nghiêm trọng nhất. "Broken Access Control" tiếp tục dẫn đầu, và có thêm danh mục mới "Improper Exception Handling". Bài viết cũng nhấn mạnh việc tích hợp bảo mật vào mọi giai đoạn phát triển (shift security left) để xây dựng phần mềm an toàn hơn.

#OWASP #Cybersecurity #WebSecurity #DevSecOps #Infosec #BảoMật #AnNinhMạng #LậpTrình

dev.to/xnoruz/dominando-el-owa

DevTo VN Botdevto_vn_bot@mastodon.maobui.com
2026-01-14

"Phát hiện lỗ hổng bảo mật nghiêm trọng tại lab Pentest: Endpoint GraphQL lộ thông tin nhạy cảm do introspection được bật công khai. Kẻ tấn công có thể truy vấn trường username/password qua getUser(id) mà không cần xác thực. Demo: Truy vấn id=1 thu được thông tin admin → chiếm quyền điều khiển & xóa người dùng. Cảnh báo rủi ro khi triển khai GraphQL thiếu kiểm soát!

#GraphQL #Security #Pentest #WebSecurity #BảoMật #BảoMậtMạng #LỗHổng"

dev.to/travondatrack/lab-accid

CertKitcertkit@infosec.exchange
2026-01-12

"We're a serious organization. We use Sectigo."

Let's Encrypt has 60% market share. Amazon and Netflix use DV certs. Chrome killed the EV green bar in 2018. DigiCert had a five-year validation bug. Entrust got distrusted by all major browsers. The free nonprofit CA has a cleaner record than the paid alternatives.

certkit.io/blog/should-you-sti

#PKI #WebSecurity

Andrew Armstrongtechygeekshome@techhub.social
2026-01-12

Dropbox Whitelists for Web Security Proxy | techygeekshome.info/dropbox-wh #Guide #Storage #WebSecurity 
techygeekshome.info/dropbox-wh

Anthony Powellajguides
2026-01-12

Dropbox Whitelists for Web Security Proxy | techygeekshome.info/dropbox-wh  
techygeekshome.info/dropbox-wh

eqtveqtv@peertube.eqver.se
2026-01-09

Getting ready for the cybersecurity certification exam — Lab 25 (Blind SSRF) — Burp Suite Collaborator

peertube.eqver.se/w/5WkYqZaW9X

eqtveqtv@peertube.eqver.se
2026-01-09

Getting ready for the cybersecurity certification exam — Lab 7 (SSRF) — Bypass a whitelist. Burp Suite

peertube.eqver.se/w/ibJVTPEYTA

DevTo VN Botdevto_vn_bot@mastodon.maobui.com
2026-01-08

[Phiên bản NodeJS 4] Hướng dẫn triển khai xác thực JWT 🔐
Chi tiết cách tích hợp JWT cho hệ thống đăng nhập NodeJS:
- Tạo token khi đăng nhập thành công với thời hạn 1h
- Xây dựng middleware kiểm tra token cho route bảo mật
- Lưu secret key an toàn qua biến môi trường (.env)
- Phân biệt route public/protected trong API

#NodeJS #JWT #Authorization #WebSecurity
#LậpTrìnhNodeJS #XácThực #BảoMật

dev.to/akkaraponph/nodejs-101-

DevTo VN Botdevto_vn_bot@mastodon.maobui.com
2026-01-08

Bài viết phân tích sự nhầm lẫn giữa JWT và OAuth:
- JWT là định dạng mã hóa chứa thông tin xác thực, không phải giải pháp bảo mật
- OAuth là framework ủy quyền truy cập tài nguyên, không liên quan đến định danh người dùng
- OpenID Connect (OIDC) mới thực sự xác thực người dùng trên nền OAuth
- DNS mấu chốt: JWT đóng gói dữ liệu, OAuth quản lý quyền truy cập, OIDC nhận diện người dùng
Hiểu đúng vai trò giúp tránh lỗ hổng bảo mật từ sai lầm phổ biến!

#JWT #OAuth #OIDC #WebSecurity #Authenticatio

Switchweb Web Hostingswitchweb
2026-01-06

Secure web hosting
switchweb.co.uk/blog/2025/06/2

DevTo VN Botdevto_vn_bot@mastodon.maobui.com
2026-01-05

Suy nghĩ cách lưu trữ JWT trong MERN? So sánh chi tiết:

🔐 Local Storage:
- ✅ Ưu: Triển khai nhanh, dễ truy cập JavaScript
- ❌ Nguy cơ: Dễ bị XSS (token bị đánh cắp)
- Phù hợp demo/dự án nhỏ

🍪 HTTP-only Cookies:
- ✅ Ưu: Chống XSS, an toàn cho production
- ❌ Nhược: Cần xử lý CSRF (sameSite/token)
- Nên dùng cho ứng dụng thực tế

Khuyến nghị:
- SaaS/FinTech: Luôn dùng Cookies + CSRF
- Production: Ưu tiên bảo mật hơn tiện lợi

#MERN #JWT #BảoMậtWeb #NodeJS #React
#Authentication #WebSecurity #F

DevTo VN Botdevto_vn_bot@mastodon.maobui.com
2026-01-04

Thử thách Burp SSRF: Yêu cầu dùng tính năng kiểm tra kho để quét dải IP nội bộ 192.168.0.X:8080, tìm giao diện admin. Sau khi quét, phát hiện IP trả về mã 404 → chỉ ra URL tồn tại. Truy cập /admin tại IP này nhận chuyển hướng 302. Theo dõi redirect và xóa user "carlos" thành công.

#WebSecurity #SSRF #Pentesting #BurpSuite
#BảoMậtWeb #SSRF #KiểmThửXâmNhập #BurpSuite

dev.to/jdj_mdj_b72ba3daf522318

N-gated Hacker Newsngate
2026-01-03

Ah, the classic 1997 game diffs have finally made their way to the pinnacle of modern web security: a checkpoint demanding be enabled to pass go. 🎮🔐 Because nothing screams like browser verification pages masquerading as retro gaming news. 😂🕹️
glthr.com/the-riven-diffs-1

knoppixknoppix95
2025-12-30

Trust Wallet says a compromised Chrome extension led to ~$7M stolen from 2,596 wallets just before Christmas. 🔓

Attackers abused a leaked Chrome Web Store API key, bypassing release checks and exfiltrating wallet data. 🧩

🔗 bleepingcomputer.com/news/secu

Client Info

Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst