Как стать автором
Обновить

Принцип домино или XSS на крупных сайтах рунета

Информационная безопасность *
На странице регистрации нового аккаунта Mail.ru не фильтровались поля 'Имя' и 'Фамилия', в следствии чего туда можно было вставлять скрипты и регистрировать пользователя чьим именем был скрипт (до 80-ти символов). На самом Mail.ru эта уязвимость никак не отражалась, а проявляла себя на тех сайтах, что использовали авторизацию через Mail.ru, и на тех сайтах, что использовали авторизацию сайтов, использовавших авторизацию через Mail.ru :)
Вот так было до исправления уязвимости:
image

Так после:
image

А так во время (для комфортного просмотра ставить 1080p):



Такие дела.
Вроде бы на момент написания этого поста Mail.ru уже поправили этот баг.

Мой предыдущий пост, посвящённый XSS

UPD: Получил письмо от суппорта. Уязвимость закрыли, поблагодарили.
Теги:
Хабы:
Всего голосов 123: ↑114 и ↓9 +105
Просмотры 4K
Комментарии Комментарии 95