Yandex。ポスター。 Xss

金曜日はすべて、大規模なサイトのXSS脆弱性の検索に費やしました。 その結果、銀行のいくつかの公式WebサイトとBiglionのWebサイトでXSSを発見しました。
これらのサイトの管理者には脆弱性が通知されたため、それらを修正した後、銀行のサイトにエラーの詳細な説明を投稿します。

結局、Yandexにそのような穴があるかどうかを確認することにしました。

XSS検索。


YandexサービスのN番目の数を確認して、単純なパスに沿って検索バーのエラーを探すことにしました。ポスターにはクエリフィルターがありませんでした。

その結果、スクリーンショットからわかるように、jsコードの挿入は成功しました。

クッキー出力:


ページ上のXSSの表示:


金曜日の夜、彼は技術的なエラーを報告しました。 Y. Afishaのサポート。

今日の午後、脆弱性は解決されました。

Source: https://habr.com/ru/post/J144225/


All Articles