D
Size: a a a
2020 June 01
D
Кто может читать этот код есть ли здесь редирект?
L
Кто может читать этот код есть ли здесь редирект?
Можно корректный вопрос?
D
Можно корректный вопрос?
Опен редирект говорю есть там
L
Опен редирект говорю есть там
А у тебя редиректит?
L
Если да то да если нет то нет
D
А у тебя редиректит?
А
Ты на локале тестишь?
А
Зачем сюда кидаешь example,
У нас все равно не сработает
У нас все равно не сработает
2020 June 02
IN
Опен редирект говорю есть там
А кто-то ещё эти редиректы принимает на h1? Мне кажется это хуже кликджекинга :) другое дело в связке с ssrf или чём-то ещё
BF
Ivan N
А кто-то ещё эти редиректы принимает на h1? Мне кажется это хуже кликджекинга :) другое дело в связке с ssrf или чём-то ещё
Это был мой первый валидный баг :D
ЭК
Это был мой первый валидный баг :D
А мне дубликат на дом хсс поставили.....
P
Ivan N
А кто-то ещё эти редиректы принимает на h1? Мне кажется это хуже кликджекинга :) другое дело в связке с ssrf или чём-то ещё
Кто-то принимает.
P
Если не ошибаюсь на сайте detectify написан, что наличие опен редирект в 90% случаев свидетельствует о имеющейся xss.
Если найден редирект имеет смысл пофаззить xss пейлоадами. Так хоть импакт выше будет.
Если найден редирект имеет смысл пофаззить xss пейлоадами. Так хоть импакт выше будет.
I
А мне дубликат на дом хсс поставили.....
дом хсс, потому что срабатывала на домашней странице?)
ЭК
Она везде срабатывала, я её на трёх страницах сделал)
I
ты ее только по этому считаешь DOM?
ЭК
И они досихпор не пофиксили ничего
ЭК
ты ее только по этому считаешь DOM?
Не только, там параметр lang уязвимый и можно исполнять любой скрипт, это не типичный рефлектед.