Свободное общение | Обидка на Яндекс. Сливаю XSS
Тема закрыта by
IvanDanilov
Причина: Ладно, вы тут радуйтесь :D Тему я закрою что бы особо люди не начали фигней страдать :)
IvanDanilov
Причина: Ладно, вы тут радуйтесь :D Тему я закрою что бы особо люди не начали фигней страдать :)
ВНИМАНИЕ! Это сообщение исключительно информативного характера. Помните что взлом сайтов, воровство чужих данных и т. д. противозаконно.
Переходим на страницу https://yandex.ru/blog/apidisk/new написания сообщения в блог. Далее заполняем произвольный заголовок, нажимаем "Исходник" в тексте поста и вводим например: 123<script>alert(document.cookie);</script>321<hr>123 после чего жмем сохранить как черновик. Переходим к просмотру статьи - http://bit.ly/1Yftfex и видим рабочую XSS уязвимость. Так же само эту статью можно без модерации опубликовать и её будут видеть все пользователи.
Переходим на страницу https://yandex.ru/blog/apidisk/new написания сообщения в блог. Далее заполняем произвольный заголовок, нажимаем "Исходник" в тексте поста и вводим например: 123<script>alert(document.cookie);</script>321<hr>123 после чего жмем сохранить как черновик. Переходим к просмотру статьи - http://bit.ly/1Yftfex и видим рабочую XSS уязвимость. Так же само эту статью можно без модерации опубликовать и её будут видеть все пользователи.
что за найденную не заплатили?
89828013 , Неа.