Взлом гиганта: как я нашел уязвимость в поддомене Google и попал в «зал славы» багхантеров

[alekssamos]

Вот это я считаю реально везение. С одной стороны реально покажется, что это какая-то детская ошибка, а с другой стороны даже такое бывает. Поздравляю

[Arioch]

Жалко, что сайт снесли.

Вот просто напрашивалось, после исправление, попытаться сделать URLEncode не 2 раза, а 3. Может быть, ещё одну награду бы получил...

[BugM]

Не жалко. Это хороший результат.

Если проект закрыт, то сайт надо сносить. Уязвимости чинить людей уже нет, а пользователи все еще есть и доверяют. Лучше закрыть совсем. Данные всем конечно же надо отдать самым удобным для пользователей способом.

[Zalechi]

А я хотел бы автора спросить, не пробовал ли он с одним энкодинком делать несколько попыток… (вопрос риторический, поэтом знак вопроса не ставлю)

[graf_sovva]

Правильно понимаю, что если бы был CSP, то не получится воспроизвести XSS?

[Aetae]

Если включён CSP и не включён unsafe-inline, то да, этот конкретный XSS воспроизвести бы не удалось. Но обычно если код старый - там полно inline обработчиков и так просто от них не избавишься не переписав всё.

В целом не люблю CSP - это заглушка для криворуких, понимаю и принимаю, что криворуких большинство, но всё равно не люблю.:)