XSS na Wykopie
Autorem poniższego tekstu jest Sławomir Błażek. Z ciekawości chciałem sprawdzić czy nie można by wyróżnić swojego znaleziska np. poprzez wsadzenie do tytułu, zmiany koloru lub w jakiś inny sposób manipulacji przy tytule. Okazało się, że śmiało można wstrzykiwać tagi html i nie są one w żaden
![dzien_dobry](https://wykop.pl/cdn/c3397992/dzien_dobry_VQRrNFNPjF,q52.jpg)
- #
- #
- #
- 53
Komentarze (53)
najlepsze
Dzięki zgłoszeniu Sławka udało się szybko naprawić luki.
Piko z niebezpiecznika przedstawił to w nieco nudny sposób.
Planowałem przemycić własny CSS do xss.wykop.pl który byłby dostępny także po poinformowaniu administracji o XSS. Nawet graficzkę sobie przygotowałem: http://7pl.pl/no/xss.jpg ;)
Piko był szybszy ;)
Może kiedyś... Lubię takie nietypowe informowanie o lukach (oczywiście bez szkodzenia) - wówczas taka informacja jest traktowana poważniej (wiem z doświadczenia).
Niestety wśród twórców
Komentarz usunięty przez moderatora
Ktos powinien dostac po d... za tak podstawowe bledy.
<alert("wykop");//<
Prawie się udało ;)