Pull to refresh

XSS уязвимость на сайте Futurico.ru

Reading time1 min
Views468
Мной была найдена полуактивная XSS уязвимость на сайте Futurico.ru.
Все просто: вводим сообщение на сайте (маленькая фраза).
image

Затем узнаем id сообщения — отснифаем POST-параметры при подгрузке:
image
А теперь просто передадим futurico.ru/map/getPointInfo.php?point=**** POST-параметр методом GET и увидим наше сообщение:
image
Фильтрации нет.
На данный момент разработчики частично отключили «маленькие фразы», однако все равно можно писать сообщения и обращаться по id к ним.
Более подробную информацию можно узнать здесь
Tags:
Hubs:
Total votes 27: ↑18 and ↓9+9
Comments12

Articles