Cześć, wykryłem błąd na stronie znalazłem XSS, wchodzimy http://firecash.org/...site-your-sites
dajemy dodaj słowo kluczowe i wpisujemy tam
"><h1><script>alert(document.cookie)</script>
</h1> i wyskakuję nam pełny błąd XSS coockies na wierzchu co
jeszcze jedna rzecz jest dziwna ? Że jak raz dodamy ten skrypt to potem
nie możemy usunąć więc niech nikt nie próbuję ten błąd jest tylko do
administracji zgłaszany. Druga sprawa już troszkę ważniejsza ... gdy
edytujemy gateway wypełniamy wszystkie pola
"><h1><script>alert(document.cookie)</script>
</h1> oprócz paru pol które.
Płatności
Wszystkie pola są podatne na XSS
Pozycjonowanie Strony
System Gateway
Najgorsze to ostatni screen ! Gdy ktoś rozwiązuję gateway to wyskakuję mu komunikat z XSS wyskakują jego cookies które można łatwo przejąć.
Po prostu gdy ofiara wejdzie wypełni ankietę do mnie przychodzi email z logami i coockies i wchodzę jako jedno razowa sesja i mogę wykonać każdy ruch aż do wyloogowania albo opróżnienia coockies . Aby uniknąć problemu wystarczy włączyć filtrowanie w htmlu. Pozrawiam
Błąd dawno zgłoszony nie wiem czy jeszcze działa
0 komentarze:
Prześlij komentarz