Stored XSS в имени песни (2) на платёжном гейте.

4lemon прислал способ эксплуатации хранимой XSS, использующий комбинацию уязвимостей сервиса покупки музыки в Одноклассниках: > Я уже описывал как сделать песню с опасными тэгами в предыдущем репорте. Нашлось, где это можно использывать ещё. Причём в данном случае эксплуатация на порядок проще. > 1. Открываем http://ok.ru/gifts > 2. Кликаем любой подарок > 3.Выбираем кому дарить (можно самому себе), это абсолютно не важно. > 4. На следующем экране кликаем "добавить песню". При выборе "моя музыка" систем говорит, что нету таких песен, которые можно добавить. > 5. Выбираем любую - дальше магия - в burp proxy выбираем "перехватывать все запросы" - и после нажатия кнопки "добавить", в перехаченом запросе, изменяем id трэка на наш (122884868317642), заряженный трэк. (Кстати, в итоге, получается что можно добавить любой трэк из системы, что, по всей видимости, тоже является логической ошибкой) 5.1 Отравляем запрос дальше. > 6. Происходит каскад редиректов. И срабатывает XSS > Самое интересное, что если достать из прокси запрос к paymentnew.ok.ru то в нём уже есть вся необходимая инфа и открытие этой ссылки не привязано к сессии пользователя его создавшего, таким образом, можно атаковать любого пользователя (для примера открыл эту ссылку в другом браузере).