Активная XSS на mail.ru, webmaster.mail.ru - SEO блог

SEO

 


Что-то мне в последнее время ‘везёт’ на подобного рода уязвимости, недавно нашёл активную xss на seocafe.info, на нескольких сервисах ‘семейства GGL’ так же есть баги, а теперь и мейл.ру.
Собственно активка бесполезна ибо находится она в кабинете вебмастера на mail.ru (webmaster.mail.ru), заюзать её практически невозможно т.е. в боевых условиях. Протестировать её можно зайдя в свой аккаунт и добавив новый сайт, после чего рядом с доменом можно будет увидеть колонку ‘sitemap’, при указании карты сайта в текстовое поле вбиваем например это:

/<img src=s onerror='alert(1)'>

передаём тег img где в качестве события onerror наш скрипт


и видим это:

webmaster.mail.ru xss


Как видите, даже на таких серьёзных проектах есть уязвимости. На Яндексе кстати тоже активки частенько находят, с гуглом всё посложней ибо там сидят более чем толковые кодеры а не ололо только что окончившие институт. В общем всё это конечно хорошо, но как я уже писал выше — толку от этой баги практически нету. Да и вообще мы же хорошие и всё равно не использовали бы уязвимость. Написал про багу в тех.поддержку мб скоро пофиксят. UPD: Зашел на почту — прислали письмо что мол исправят, зашёл проверить и действителньо исправили (не прошло и 4х дней, оперативненько).

К слову говоря, недавно наткнулся на интересную статью где автор даёт полезные советы про то как раскрутить блог? Различные приемы раскрутки блога которые вам помогут. На этом у меня всё, удачи.

кофемашина для дома, gaggia. .


Добавить комментарий


3faab077

   

Top