Очень жесткая XSS в личных сообщениях m.ok.ru
Critical
O
ok.ru
Submitted None
Actions:
Reported by
circuit
Vulnerability Details
Technical details and impact analysis
Приветствую.
Нашел багу в личных сообщениях в мобильной версии
{F251208}
Что нужно, чтоб заюзать:
1. Переходим в группу https://m.ok.ru/group/54904397693159/market
2. Ищем товар единственный на страничке
{F251213}
3. Переходим на него и нажимаем на кнопку "Связаться с продавцом" (https://m.ok.ru/group/54904397693159/market)
{F251215}
4. Видим алерт.
{F251216}
Нет фильтрации служебных символов тут -
<div class="discus_dialogs_topic emphased tx-ellip">"><img src="x" onerror="alert()"></div>
## Impact
XSS.
Report Details
Additional information and metadata
State
Closed
Substate
Resolved
Submitted
Weakness
Cross-site Scripting (XSS) - Stored