[Stored XSS] mail.yahoo.com

[SilenTx0]

Vectorul se execut? automat, f?r? s? fie nevoie de interac?iunea userului.

Voi posta ?i video mai incolo.

Edited October 26, 2014 by SilenTx0

[BitMap]

Good job.

Sa ne lasi un feedback cand o sa fie momentul, sa vedem si noi ce au zis 'baietii'

[SilenTx0]

Good job.

Sa ne lasi un feedback cand o sa fie momentul, sa vedem si noi ce au zis 'baietii'

Am sa revin cu un write-up + video poc dupa ce o rezolva. E foarte interesant? vulnerabilitatea.

[Aerosol]

Felicitari sunt curios cat vei primi pe ea.

[abraxyss]

Nu trebuie nici macar sa deschida mailul?

[SilenTx0]

Nu trebuie nici macar sa deschida mailul?

Nu, nu e nevoie. NU trebuie s? fac? nimic decât s? intre pe mail.yahoo.com

[abraxyss]

Kudos l-as fi vandut in locul tau

[nacks]

Nu, nu e nevoie. NU trebuie s? fac? nimic decât s? intre pe mail.yahoo.com

e jale atunci

[SilenTx0]

e jale atunci

Este...sunt curios la cât vor estima cei de la Yahoo valoarea acestei vulnerabilit??i. Sper doar sa nu fie duplicate. De curiozitate, voi cam cât crede?i c? ar valora având în vedere ca este stored ?i nu necesit? înteractiunea userului?

[cloudzero]

Interesant, asteptam video

[nacks]

Este...sunt curios la cât vor estima cei de la Yahoo valoarea acestei vulnerabilit??i. Sper doar sa nu fie duplicate. De curiozitate, voi cam cât crede?i c? ar valora având în vedere ca este stored ?i nu necesit? înteractiunea userului?

Eu cred ca undeva in jurul sumei de 5000 $ ... daca este peste dai o bere

[TheTime]

Stiindu-i pe cei de la yahoo, nu cred ca vei primi peste $1.5k, dar iti tin pumnii pentru cat mai mult.

Sa nu uiti de noi cu VPOC sau poate o sa ceri un public disclosure pe hackerone.

[SilenTx0]

Stiindu-i pe cei de la yahoo, nu cred ca vei primi peste $1.5k, dar iti tin pumnii pentru cat mai mult.

Sa nu uiti de noi cu VPOC sau poate o sa ceri un public disclosure pe hackerone.

Sunt de acord cu tine referitor la reward. A fost o vreme când pl?teau foarte prost, 250$ pe un source code disclosure in care se gaseau credentialele de la baza de date dar am prins ?i vremuri mai bune când au dat mai mult decât m? a?teptam.

Nu uit, am scris deja în mare parte articolul iar vPoc-ul e gata de mult. Dup? ce repar? vulnerabilitatea, le voi posta.

[SilenTx0]

Voi posta în seara asta articolul + vPoc-ul.

Edit: vPoC:

Edited October 27, 2014 by SilenTx0

[nacks]

Voi posta în seara asta articolul + vPoc-ul.

Edit: vPoC:

... tocmai ce spuneai de duplicate ... pacat

[SilenTx0]

... tocmai ce spuneai de duplicate ... pacat

Eh, poate am mai mult noroc la urmatoarea:d.

[daatdraqq]

Eh, poate am mai mult noroc la urmatoarea:d.

Data viitoare vinde-l , daca asta a fost duplicat eu imi tai pula si o dau la rate.

[SilenTx0]

Data viitoare vinde-l , daca asta a fost duplicat eu imi tai pula si o dau la rate.

Nici eu nu cred ca era duplicat...a mai raportat cineva de pe forum dup? mine, a?tept s? vad ce ii spun ?i lui.

[BitMap]

... and are working on a fix

Come on, it's not rocket science. De cand o tot repara.

Foarte tare vulnerabilitatea, dar lasa ca nu e nici ultima

[quadxenon]

Tot tu ai mai patit-o o data : https://rstforums.com/forum/83580-xss-yahoo-mail.rst#post551989

[SilenTx0]

Tot tu ai mai patit-o o data : https://rstforums.com/forum/83580-xss-yahoo-mail.rst#post551989

Oho, ?i doar o data?))) (Btw, 250$ am luat pe aia, penibil de pu?in)

[romanu]

cat primeai de o vindeai.. puff

[abraxyss]

Aviz amatorilor de show-off, ideal ar fi sa faceti video-urile, pozele si POC-urile inainte de a raporta, dar sa postati show-offul dupa ce va raspund, pentru ca e plin de sacali. Poate l-a gasit cineva de pe forum si l-a raportat inaintea ta.

[aelius]

Aviz amatorilor de show-off, ideal ar fi sa faceti video-urile, pozele si POC-urile inainte de a raporta, dar sa postati show-offul dupa ce va raspund, pentru ca e plin de sacali. Poate l-a gasit cineva de pe forum si l-a raportat inaintea ta.

A fost un individ pe aici care facea asa.

[SilenTx0]

Aviz amatorilor de show-off, ideal ar fi sa faceti video-urile, pozele si POC-urile inainte de a raporta, dar sa postati show-offul dupa ce va raspund, pentru ca e plin de sacali. Poate l-a gasit cineva de pe forum si l-a raportat inaintea ta.

Eu mereu postez POC-urile la cateva zile dup? ce raportez/dup? ce mi se r?spunde. Din câte mi-am dat seama, prima persoan? care a raportat vulnerabilitatea a facut-o cu vreo 3-4 zile înaintea mea...