Open Posted July 17, 2014 Report Posted July 17, 2014 Am raportat aceasta vulnerabilitate, si astept un raspuns de la ei! Cand o sa primesc raspunsul o sa vin si cu video, si o sa va spun si voua ce am primit. Quote
Nytro Posted July 17, 2014 Report Posted July 17, 2014 Acel vector XSS poate ajunge si la un alt user de pe Messenger? E Remote sau doar Self?Mai fusese postat unul. E in Send SMS? Quote
Active Members akkiliON Posted July 17, 2014 Active Members Report Posted July 17, 2014 Dac? e cel din send sms message, e vechi. Nu o s? prime?ti nimic. L-am raportat ?i mi-or dat duplicate. Quote
Open Posted July 17, 2014 Author Report Posted July 17, 2014 Acel vector XSS poate ajunge si la un alt user de pe Messenger? E Remote sau doar Self?Inca nu m-am jucat cu el, dar poate ajunge si la alt utilizator, am facut test pe doua id-uri diferite, si cum mi-am dat add, a sarit alerta.Dac? e cel din send sms message, e vechi. Nu o s? prime?ti nimic. L-am raportat ?i mi-or dat duplicate.Nu este acela din SMS, il stiu si pe acela. Quote
Nytro Posted July 17, 2014 Report Posted July 17, 2014 Ia da-i un alert(document.cookie) si vezi daca ai cookie-urile cu numele Y si T. Quote
Open Posted July 17, 2014 Author Report Posted July 17, 2014 (edited) Ia da-i un alert(document.cookie) si vezi daca ai cookie-urile cu numele Y si T.La document.cookie, este gol dar o sa fac mai multe teste, sa vad ce se poate face cu el, si cum se exploateaza mai exact, si o sa revin pe parcurs cu mai multe rezultate, si cand dai add sare alerta doar daca faci ceva, nu sare din prima. Edited July 17, 2014 by Open Quote
mah_one Posted July 17, 2014 Report Posted July 17, 2014 (edited) Ia incearca <a href='calc'>test</a>si apasa pe test.Sunt curios daca poti da comenzi de sistem. Edited July 17, 2014 by mah_one Quote
Open Posted July 17, 2014 Author Report Posted July 17, 2014 daca esti pe windows ia incearca <a href='calc'>test</a>si apasa pe test.Sunt curios daca poti da comenzi de sistem.Nu se pot executa comenzi pe sistem! Am incercat acum ce mi-ai dat tu si nu reactioneaza cu nimic. Quote
SilenTx0 Posted July 17, 2014 Report Posted July 17, 2014 Cred ca iei 50 pe vulnerabilitate...asta daca raspund. Eu am cateva vulnerabilitati triaged de doua luni, probabil mai dureaza vreo 6 pana la payment... Quote
Vlachs Posted July 18, 2014 Report Posted July 18, 2014 Ia incearca <a href='calc'>test</a>si apasa pe test.Sunt curios daca poti da comenzi de sistem.De unde pana unde sa executi comenzi si mai ales in Windows, unde calc trebuie stabilit ca environment variable pentru apelare rapida, ca sa poti executa trebuie sa ai o functie de deschide o aplicatie externa pe baza de argument, chiar de ar fi din browser deschisa o aplicatie, ti-ar aparea download sau run(cu mesajele de securitate aferente) nu pur si simplu s-ar executa.Nu o lua personal dar vad foarte multe persoane de raporteaza vulnerabilitati dar nu stiu baza limbajului, tehnic ce si cum, pana sa vad comentariu asta, te respectam, acum, nu prea. Quote
mah_one Posted July 18, 2014 Report Posted July 18, 2014 (edited) Eu am vrut sa vad daca yahoo mess are sandbox bun. Am gasit aplicatii care nu aveau sandbox pentru ce am rugat sa incerce.Normal ca in browser e altfel, are sandbox.Ca sa intelegi de ce am zis asta:(sunt 54 de secunde) Edited July 18, 2014 by mah_one Quote
