365DaysOfHacking

漏洞挖掘365天挑战——Day083:漏洞报告学习之Simple HTML Injection to $250

P小二一条评论

链接:https://medium.com/@chaitanyarajhans024/simple-html-injection-to-250-895b760409ed

这是一个hackerone的私人邀请。

作者去看联系我们的页面的时候,有个实时聊天的功能,打开可以输入文本。

插入一段XSS payload,然后打开收件箱时被触发了。

在电子邮件的地方,输入< img src = ‘ https://test.com/mrbean.jpg’,

然后 发现邮件收到了这个链接

这说明,这个聊天会把你输入变成内容,发送给你。

报告了这个漏洞,得到了250美元。

漏洞挖掘365天挑战——Day083:漏洞报告学习之Simple HTML Injection to $250”的一个响应

发表评论

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

取消

Connecting to %s