- PVSM.RU - https://www.pvsm.ru -

Яндекс.Афиша. XSS

Весь прошлый день провел в поисках XSS уязвимостей некоторых крупных сайтов. В итоге обнаружил XSS на нескольких официальных сайтах банков и на сайте Биглиона.
Администрация этих сайтов была уведомлена об уязвимостях, после их исправления — выложу пост с подробным описанием ошибок на сайтах банков.

В конце дня решил проверить есть ли такая дыра и в Яндексе.

Поиск XSS.

Решил пойти по простому пути и искать ошибки в строке поиска, пересмотрев N-ое количество сервисов Яндекса, обнаружил, что в афишах отсутствует фильтрация запроса.

В итоге вставка js кода увенчалась успехом, что видно по скриншотам.

Вывод куков:
image

Как выглядит XSS на странице:
image

Так что будьте осторожны переходя по ссылке с другого ресурса на афиши Яндекса.

Суппорт яндекса уже уведомлен об ошибке, думаю поправят в ближайшее время.

Автор: shapeshifter08


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/php-2/7843