Pull to refresh

Пассивная XSS в Яндекс.Деньгах

Reading time1 min
Views2.6K

Яндекс, Деньги, два ствола XSS



История такая. На одном сайте увидел новость о том, что обновился сайт Мистера Фримена, решил заценить.

Зашёл на него и увидел там поле пожертвований Яндекс.Денег. По старой привычке бывалого скриптикидди вставил туда нетленные
[script]alert("")[/script] и нажал отправить:

image

Меня перенесло на Яндекс.Деньги, и передо мной предстала такая картина:

image

«Клёво!» — подумал я, и создал на Хабре вот этот вопрос. Потом написал в службу поддержки Яндекс.Денег и одному хабраюзеру, имеющему отношение к Яндексу.

Ну и решил дальше продолжить разбираться с этой оказией.

Поле куда записывался скрипт было защищено фильтрацией, поэтому все скрипты кроме текстового алерта надо было кодировать в URL-код иначе они не выполнялись. Что я и сделал на этом сайте.

Кстати в это время я получил ответ от суппорта Яндекса, примерно такого содержания: «Всё в порядке, я только что проверил в ФаерФоксе, никаких косяков нет».

«Клёво!» — подумал я снова, и выполнил закодированный скрипт, который выдавал мои куки:

image

После этого отправил ещё одно письмо суппорту со скриншотами трёх-браузеров, где выполняется алерт.

Потом зарегился в сниффере, закодировал скрипт, скрипт выполнился — куки пришли.
И примерно через полчаса уязвимость прикрыли. Суппорт мне пока ничего не ответил.

Такие дела.

UPD: Получил письмо от суппорта с подтверждением о исправлении уязвимости.
Tags:
Hubs:
Total votes 118: ↑104 and ↓14+90
Comments33

Articles