XSS na Wykopie
Autorem poniższego tekstu jest Sławomir Błażek. Z ciekawości chciałem sprawdzić czy nie można by wyróżnić swojego znaleziska np. poprzez wsadzenie do tytułu, zmiany koloru lub w jakiś inny sposób manipulacji przy tytule. Okazało się, że śmiało można wstrzykiwać tagi html i nie są one w żaden
dzien_dobry z- #
- #
- #
- 53
Komentarze (53)
najlepsze
Dzięki zgłoszeniu Sławka udało się szybko naprawić luki.
Piko z niebezpiecznika przedstawił to w nieco nudny sposób.
Planowałem przemycić własny CSS do xss.wykop.pl który byłby dostępny także po poinformowaniu administracji o XSS. Nawet graficzkę sobie przygotowałem: http://7pl.pl/no/xss.jpg ;)
Piko był szybszy ;)
Może kiedyś... Lubię takie nietypowe informowanie o lukach (oczywiście bez szkodzenia) - wówczas taka informacja jest traktowana poważniej (wiem z doświadczenia).
Niestety wśród twórców
Komentarz usunięty przez moderatora
Ktos powinien dostac po d... za tak podstawowe bledy.
<alert("wykop");//<
Prawie się udało ;)