Вконтакте

Iframe injection и self xss на более чем 20 000 сайтах alexarank UA/RU

Я независимый исследователь безопасности securityz.net , занимаю первое место в bug bounty ПриватБанка. Решил пройтись по топу alexarank, начал искать уязвимости на gismeteo.ua (20 место). Произошел редирект на русскую версию (www.gismeteo.ru/soft/). Обратил внимание на тех.поддержку. Техподдержка находилась по адресу gismeteo.userecho.com и загружалась на gismeteo в iframe: https://gismeteo.userecho.com/s/interframe.html?url=https://gismeteo.userecho.com/widget/forum/6-/?lang=ru&referer=https://www.gismeteo.ru/soft/&xdm_e=https://www.gismeteo.ru&xdm_c=default4178&xdm_p=1 Потом появлялась форма для создания тикета. Попытался загрузить свой сайт в iframe https://gismeteo.userecho.com/s/interframe.html?url=https://securityz.net, …

Iframe injection и self xss на более чем 20 000 сайтах alexarank UA/RURead More »