新しいMail.ruアカウントの登録ページで、「名」フィールドと「名」フィールドはフィルタリングされませんでした。その結果、スクリプトを挿入し、スクリプト名(最大80文字)のユーザーを登録できました。 Mail.ru自体には、この脆弱性はまったく反映されていませんが、Mail.ruを介した承認を使用したサイト、およびMail.ruを介した承認を使用したサイトの承認を使用したサイトで明らかになりました。
これは、脆弱性を修正する前のことです。
だから:
そのため(中に見やすいように1080pを設定します):
そのようなこと。
この投稿を書いている時点で、Mail.ruはすでにこのバグを修正しているようです。
以前のXSS投稿UPD:キャリパーから手紙を受け取りました。 脆弱性は閉じられ、感謝した。