RLS
Newbie
Всем доброго времени суток, на связи CPAGANG
От нас уже давно не было свежих статей, и пора бы исправляться!
В данной статье я расскажу вам об уязвимости сайта rulove.ru
Уязвимость заключается в активной XSS, что помогает вставить там любой JS скрипт или же html код в ник при регистрации.
Все написанное в статье, написано строго в ознакомительных целях, и о данной уязвимости на момент написания статьи уже сообщили администрации rulove.ru
Ну что же, начинаем!
Изначально проверка производилась следующим образом, при регистрации профиля я использовал простой тег <p> и стиль с выбором красного цвета
И что меня удивило, то что это сработало, аккаунт имел красный цвет ника в заместо белого, что означало чтоб сайт успешно скушал на html код.
Но тогда мне пришла идея получше, сайт имеет ленту пользователей на главной странице, и ее видят все пользователи, в топ попадают новые профили которые были недавно зарегистрированы, тем самым я решил добавить JS скрипт редиректа на свою прокладку, мысль была в том, что если профиль попадает в ленту, то пользователи которые перейдут на главную страницу сайта, будут перемещены на мою прокладку, а там и до конверсий не далеко!
И вуаля, после регистрации нас конечно же перебросило сразу же на сайт прокладку, т.к мой ник отображается в правом верхнем углу.
Как мы видим, старый аккаунт попал в ленту, значит и новый скоро попадет!
И спустя примерно 3-5 минут, при заходе на главную страницу меня стало попросту кидать на прокладку.
Примерно за 2-3 часа, сайт принес мне 6 конверсий, и 1 подписку
Хотя доход получать я и не собирался по сути, т.к делал все для написания статьи.
Фильтруйте все свои поля ввода с помощью htmlspecialchars
Если у вас остались какие либо вопросы вы можете задать их в нашем чате телеграм - Перейти
А так же, больше похожего и иного материала вы сможете найти в нашем канале - Перейти
От нас уже давно не было свежих статей, и пора бы исправляться!
В данной статье я расскажу вам об уязвимости сайта rulove.ru
Уязвимость заключается в активной XSS, что помогает вставить там любой JS скрипт или же html код в ник при регистрации.
Все написанное в статье, написано строго в ознакомительных целях, и о данной уязвимости на момент написания статьи уже сообщили администрации rulove.ru
Ну что же, начинаем!
Изначально проверка производилась следующим образом, при регистрации профиля я использовал простой тег <p> и стиль с выбором красного цвета
И что меня удивило, то что это сработало, аккаунт имел красный цвет ника в заместо белого, что означало чтоб сайт успешно скушал на html код.
Но тогда мне пришла идея получше, сайт имеет ленту пользователей на главной странице, и ее видят все пользователи, в топ попадают новые профили которые были недавно зарегистрированы, тем самым я решил добавить JS скрипт редиректа на свою прокладку, мысль была в том, что если профиль попадает в ленту, то пользователи которые перейдут на главную страницу сайта, будут перемещены на мою прокладку, а там и до конверсий не далеко!
И вуаля, после регистрации нас конечно же перебросило сразу же на сайт прокладку, т.к мой ник отображается в правом верхнем углу.
Как мы видим, старый аккаунт попал в ленту, значит и новый скоро попадет!
И спустя примерно 3-5 минут, при заходе на главную страницу меня стало попросту кидать на прокладку.
Примерно за 2-3 часа, сайт принес мне 6 конверсий, и 1 подписку
Хотя доход получать я и не собирался по сути, т.к делал все для написания статьи.
Фильтруйте все свои поля ввода с помощью htmlspecialchars
Если у вас остались какие либо вопросы вы можете задать их в нашем чате телеграм - Перейти
А так же, больше похожего и иного материала вы сможете найти в нашем канале - Перейти
