Яндекс.Афиша. XSS

в 16:41, , рубрики: php, xss, Афиша, информационная безопасность, яндекс, метки: , ,

Весь прошлый день провел в поисках XSS уязвимостей некоторых крупных сайтов. В итоге обнаружил XSS на нескольких официальных сайтах банков и на сайте Биглиона.
Администрация этих сайтов была уведомлена об уязвимостях, после их исправления — выложу пост с подробным описанием ошибок на сайтах банков.

В конце дня решил проверить есть ли такая дыра и в Яндексе.

Поиск XSS.

Решил пойти по простому пути и искать ошибки в строке поиска, пересмотрев N-ое количество сервисов Яндекса, обнаружил, что в афишах отсутствует фильтрация запроса.

В итоге вставка js кода увенчалась успехом, что видно по скриншотам.

Вывод куков:
image

Как выглядит XSS на странице:
image

Так что будьте осторожны переходя по ссылке с другого ресурса на афиши Яндекса.

Суппорт яндекса уже уведомлен об ошибке, думаю поправят в ближайшее время.

Автор: shapeshifter08


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js