Einsteinum
Öğrenci
- Katılım
- 19 Kasım 2020
- Mesajlar
- 4
- Reaksiyon puanı
- 0
- Puanları
- 1
- Yaş
- 16
Büyük bir kurumda bulduğum XSS güvenlik açığını bildirdim ve onlarda doğal olarak ispatlamamı istediler. Sitede http://example.com/arama.php?id= gibi bir kısım yok. Sadece search kısmı ve sonunda = olmayan bir URL var.
NOT: Siteyi Google CSP Değerlendiricisinde tarattığımda kesin olarak bu açığın olduğunu söylüyor. Ayrıca sitenin İP ya da diğer bilgileri kesinlikle gizli değil ve diğer programlarda da taradığımda bu açıkları buluyor ancak <script\x0Atype="text/javascript">javascript:alert(1);</script> gibi bir alert verdiğimde sayfa bulunamadı diyor. Ayrıca bulduğu açık kritik olarak değil medium olarak ve CSP script-src unsafe-inline güvenlik açığı diye geçiyor. Yani tam olarak Cross Site Scripting diye geçmiyor örnek bir exploiting yaparsanız sevinirim. Şimdiden teşekkürler <3
NOT: Siteyi Google CSP Değerlendiricisinde tarattığımda kesin olarak bu açığın olduğunu söylüyor. Ayrıca sitenin İP ya da diğer bilgileri kesinlikle gizli değil ve diğer programlarda da taradığımda bu açıkları buluyor ancak <script\x0Atype="text/javascript">javascript:alert(1);</script> gibi bir alert verdiğimde sayfa bulunamadı diyor. Ayrıca bulduğu açık kritik olarak değil medium olarak ve CSP script-src unsafe-inline güvenlik açığı diye geçiyor. Yani tam olarak Cross Site Scripting diye geçmiyor örnek bir exploiting yaparsanız sevinirim. Şimdiden teşekkürler <3