Ciekawy XSS na Wykopie

autor: p____h // ::easy::, Security // brak komentarzy

Przeglądając ostatnio Wykop.pl (polski serwis społecznościowy) natrafiłem na ciekawy link (a właściwie na ciekawą zmienną GET doklejoną do URL). Z ciekawości chciałem zrozumieć do czego ona służy. Okazało się, że próby „zrozumienia” pozwoliły mi na wykonanie XSS’a.
Odkryty przeze mnie XSS był (moim zdaniem) dość nietypowy – właśnie dlatego postanowiłem opisać go trochę dokładniej. Oczywiście, wszystko w myśl zasady responsible disclosure – tak więc opisywana luka została już zgłoszona i załatana.

Czytaj dalej »»

Kategorie

/dev/null/
Forensic
Programowanie
Security

::easy::
::medium::
::hard::