Yahoo Messenger's XSS Vulnerability

Open · July 17, 2014

Am raportat aceasta vulnerabilitate, si astept un raspuns de la ei! Cand o sa primesc raspunsul o sa vin si cu video, si o sa va spun si voua ce am primit.

Nytro · July 17, 2014

Acel vector XSS poate ajunge si la un alt user de pe Messenger? E Remote sau doar Self?

Mai fusese postat unul. E in Send SMS?

akkiliON · July 17, 2014

Dac? e cel din send sms message, e vechi. Nu o s? prime?ti nimic. L-am raportat ?i mi-or dat duplicate.

Open · July 17, 2014

Acel vector XSS poate ajunge si la un alt user de pe Messenger? E Remote sau doar Self?

Inca nu m-am jucat cu el, dar poate ajunge si la alt utilizator, am facut test pe doua id-uri diferite, si cum mi-am dat add, a sarit alerta.

Dac? e cel din send sms message, e vechi. Nu o s? prime?ti nimic. L-am raportat ?i mi-or dat duplicate.

Nu este acela din SMS, il stiu si pe acela.

Nytro · July 17, 2014

Ia da-i un alert(document.cookie) si vezi daca ai cookie-urile cu numele Y si T.

Open · July 17, 2014

Ia da-i un alert(document.cookie) si vezi daca ai cookie-urile cu numele Y si T.

La document.cookie, este gol dar o sa fac mai multe teste, sa vad ce se poate face cu el, si cum se exploateaza mai exact, si o sa revin pe parcurs cu mai multe rezultate, si cand dai add sare alerta doar daca faci ceva, nu sare din prima.

Edited July 17, 2014 by Open

mah_one · July 17, 2014

Ia incearca <a href='calc'>test</a>

si apasa pe test.

Sunt curios daca poti da comenzi de sistem.

Edited July 17, 2014 by mah_one

Open · July 17, 2014

daca esti pe windows ia incearca <a href='calc'>test</a>
si apasa pe test.
Sunt curios daca poti da comenzi de sistem.

Nu se pot executa comenzi pe sistem! Am incercat acum ce mi-ai dat tu si nu reactioneaza cu nimic.

SilenTx0 · July 17, 2014

Cred ca iei 50 pe vulnerabilitate...asta daca raspund. Eu am cateva vulnerabilitati triaged de doua luni, probabil mai dureaza vreo 6 pana la payment...

Vlachs · July 18, 2014

Ia incearca <a href='calc'>test</a>
si apasa pe test.
Sunt curios daca poti da comenzi de sistem.

De unde pana unde sa executi comenzi si mai ales in Windows, unde calc trebuie stabilit ca environment variable pentru apelare rapida, ca sa poti executa trebuie sa ai o functie de deschide o aplicatie externa pe baza de argument, chiar de ar fi din browser deschisa o aplicatie, ti-ar aparea download sau run(cu mesajele de securitate aferente) nu pur si simplu s-ar executa.

Nu o lua personal dar vad foarte multe persoane de raporteaza vulnerabilitati dar nu stiu baza limbajului, tehnic ce si cum, pana sa vad comentariu asta, te respectam, acum, nu prea.

mah_one · July 18, 2014

Eu am vrut sa vad daca yahoo mess are sandbox bun. Am gasit aplicatii care nu aveau sandbox pentru ce am rugat sa incerce.

Normal ca in browser e altfel, are sandbox.

Ca sa intelegi de ce am zis asta:

(sunt 54 de secunde)

Edited July 18, 2014 by mah_one

Sign In

Yahoo Messenger's XSS Vulnerability

Recommended Posts

Open

Link to comment

Share on other sites

Nytro

Link to comment

Share on other sites

akkiliON

Link to comment

Share on other sites

Open

Link to comment

Share on other sites

Nytro

Link to comment

Share on other sites

Open

Link to comment

Share on other sites

mah_one

Link to comment

Share on other sites

Open

Link to comment

Share on other sites

SilenTx0

Link to comment

Share on other sites

Vlachs

Link to comment

Share on other sites

mah_one

Link to comment

Share on other sites

Join the conversation

Browse

Activity

Pages