13.08.2019, 22:24
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
С нами:
10095779
Репутация:
137
|
|
Сообщение от M.Billar
↑
Вот скажите, является ли уязвимостью тот факт, что в телеграм БОТах с админками вполне сносно работает XSS если указывать банальный код в имя-фамилию пользователя.
Большая часть админок, не фильтрует эти данные и выходит, что можно просто написать Имя: alert(document.cookie)
Зайти в бота, и в админке вуаля
Бага это сервиса или разработчиков, которых даже не предупреждают о таких "возможностях" ?)
Да, является, с толковым подходом тут много что можно реализовать, на примере того же BEEF https://cryptoworld.su/beef-framework/, также в зависимости от того, как устроена/прописана админка, возможно воздействовать на функционал, опять же на примере XSS to RCE в wordpress или прочих CMS
|
|
|