1. Reverse Engineering >
  2. Exploits >
  3. Mail.ru: [Web ICQ Client] XSS ?????????? ? ????? ????????????

ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

Mail.ru: [Web ICQ Client] XSS уязвимость в имени пользователя


Exploits vom | Direktlink: vulners.com Nachrichten Bewertung


image
Domain, site, application: WEB ICQ Client - https://web.icq.com/ Testing environment: Browser (firefox) Steps to reproduce 1. Устанавливаем имя пользователя, содержащее HTML код 2. Создаем канал/группу, в который приглашаем любого пользователя 3. Разрешаем/Запрещаем писать пользователю Actual results В нотификации отображаемой в чате выполнится HTML код указанный в имени пользователя (отсутствует фильтрация). На сколько понимаю, применение узконаправленное (данные уведомления отображаются только у получателя и отправителя настроек ограничений). Screencast: ████ P. S.: В клиентском браузере отображается название канала, вместо логина администратора, применившего санкции. Название канала так же может содержать HTML код: {F702013} Impact Выполнение произвольного JS в Web......

Externe Webseite mit kompletten Inhalt öffnen

https://vulners.com/hackerone/H1:786822?utm_source=rss&utm_medium=rss&utm_campaign=rss

Team Security Social Media

➤ Weitere Beiträge von Team Security | IT Sicherheit

Team Security Diskussion über Mail.ru: [Web ICQ Client] XSS уязвимость в имени пользователя