サイトFuturico.ruのXSS脆弱性

Futurico.ruサイトでセミアクティブXSS脆弱性を発見しました。

簡単です:サイトにメッセージを入力します(短いフレーズ)。

画像



次に、メッセージIDを見つけます-ロード中にPOSTパラメーターをキャプチャします。

画像

そして、 futurico.ru / map / getPointInfo.php?point = **** GETメソッドを使用してPOSTパラメーターを渡すだけで、メッセージが表示されます。

画像

フィルタリングなし。

現時点では、開発者は「小さなフレーズ」を部分的に無効にしていますが、それでもメッセージを作成してid経由でアクセスできます。

詳細については、 こちらをご覧ください。



All Articles