• XSS.stack #1 – первый литературный журнал от юзеров форума

XSS VULN - Выберите, что я делаю

Отслеживать
Ro0t01

Ro0t01

floppy-диск
Пользователь
Регистрация
17.03.2022
Сообщения
3
Реакции
0
Так я нашел XSS уязвимость на каком-то сайте, который мне не нравится, и теперь вы можете выбрать, что я делаю с этим сайтом, сообщать об этом или делать что-то еще?

Я не говорю по-русски, я говорю по-английски, поэтому я перевожу, простите, если это не имеет хорошего смысла. 😁
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Однажды получил доступ к админке сайта. Я мог бы создать себе промокодов, воспользоваться ими и сделать себе на этом сайте випку, но я сообщил об уязвимости администратору сайта и он сказал мне "Спасибо" - это все, что я от него получил
 
Cha01337 сказал(а):
Однажды получил доступ к админке сайта. Я мог бы создать себе промокодов, воспользоваться ими и сделать себе на этом сайте випку, но я сообщил об уязвимости администратору сайта и он сказал мне "Спасибо" - это все, что я от него получил

Разумеется, вы не могли это сделать с помощью XSS, верно? (переведено с английского языка) 😂
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ro0t01 сказал(а):
Разумеется, вы не могли это сделать с помощью XSS, верно?
С помощью XSS я вывел окно авторизации (похожее на оригинальное), скинул ссылку администратору сайта и сказал, что нашел дырку на его сайте. Он подумал, что его выбило из аккаунта и ввел туда свои логин и пароль

Дальше был редирект (Нельзя отправить POST и GET на сторонние сайты через JS, но редирект сделать можно) на подконтрольный мне https://site.com/index.php?login=admin&password=admin и запись в файл

Я долгое время находился в админке, создал себе второй админский аккаунт и рассказал обо всем администратору - он сказал мне просто "Спасибо" за это. Я мог бы выгрузить базу пользователей, сделать себя випом без оплаты, но я решил рассказать ему об этом и он исправил XSS

Потом он сказал мне просто "Спасибо" и отобрал права администратора на моем аккаунте
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
В админке были логи всех сообщений которые пользователи писали друг-другу, голосовые сообщение с пердежом, стонами... жалобы на других пользвателей и тд.
Это был развлекательный сайт

Там было не удобное расположение кнопки с голосовым сообщением - по этому люди (особенно которые сидели на сайте с телефона) случайно нажимали на кнопку отправки голосовых сообщений
A5EoHHV.png
 
Cha01337 сказал(а):
В админке были логи всех сообщений которые пользователи писали друг-другу, голосовые сообщение с пердежом, стонами... жалобы на других пользвателей и тд.
Это был развлекательный сайт

Там было не удобное расположение кнопки с голосовым сообщением - по этому люди (особенно которые сидели на сайте с телефона) случайно нажимали на кнопку отправки голосовых сообщений
A5EoHHV.png
даже мировые корпорации в большинстве случаев не платят за найденные уязвимости, чуть ли не через суд некоторые выбивали копейки из них. Если нашел доступ - то если сам не раскручиваешь боишься\или просто лень - продаешь его и радуешься.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх