Бага заключалась в следующем: если при вставке ютубовского видео на некоторые сайты (я проверял на Хабре, ЖЖ и liveinternet), в конец адреса видео добавлялся такой URL-код:
User
Принцип домино или XSS на крупных сайтах рунета
1 min
4.3KНа странице регистрации нового аккаунта Mail.ru не фильтровались поля 'Имя' и 'Фамилия', в следствии чего туда можно было вставлять скрипты и регистрировать пользователя чьим именем был скрипт (до 80-ти символов). На самом Mail.ru эта уязвимость никак не отражалась, а проявляла себя на тех сайтах, что использовали авторизацию через Mail.ru, и на тех сайтах, что использовали авторизацию сайтов, использовавших авторизацию через Mail.ru :)
Вот так было до исправления уязвимости:
Вот так было до исправления уязвимости:
+105
Пассивная XSS в Яндекс.Деньгах
1 min
2.6KЯндекс, Деньги, два ствола XSS
История такая. На одном сайте увидел новость о том, что обновился сайт Мистера Фримена, решил заценить.
+90
Information
- Rating
- Does not participate
- Registered
- Activity