金曜日はすべて、大規模なサイトのXSS脆弱性の検索に費やしました。 その結果、銀行のいくつかの公式WebサイトとBiglionのWebサイトでXSSを発見しました。
これらのサイトの管理者には脆弱性が通知されたため、それらを修正した後、銀行のサイトにエラーの詳細な説明を投稿します。
結局、Yandexにそのような穴があるかどうかを確認することにしました。
XSS検索。
YandexサービスのN番目の数を確認して、単純なパスに沿って検索バーのエラーを探すことにしました。ポスターにはクエリフィルターがありませんでした。
その結果、スクリーンショットからわかるように、jsコードの挿入は成功しました。
クッキー出力:
ページ上のXSSの表示:
金曜日の夜、彼は技術的なエラーを報告しました。 Y. Afishaのサポート。
今日の午後、脆弱性は解決されました。