Ətraflı məlumat
http://nic.az saytinda domain yoxlama funksiyasında XSS var. Eksplotasiya etmək üçün "Upper-Case" outputu bypass etmək lazımdı. Aşağıda verdiyimiz PoC kodu BurpSuite və ya hansısa proxy tool ilə "domain" parametrini dəyişdirin.
PoC:
<a/href="javascript:alert(0)">Click ME!!!!!</a>
Qeydlər
-
02 Noyabr 2016, 13:16
Boşluğun statusu
Mənbədən cavab gəlmədi -
04 Oktyabr 2016, 10:03
Boşluğa bal verildi
Boşluğun tərcüməsi üçün tərcüməçiyə 6 bal verildi -
04 Oktyabr 2016, 10:03
Boşluğa bal verildi
Boşluğun tərcüməsinə görə müəllifə 1 bal verildi -
14 Sentyabr 2016, 10:47
Boşluğun statusu
Mənbəyə boşluq haqqında e-poçt göndərildi -
11 Sentyabr 2016, 13:39
Boşluğa bal verildi
Moderator boşluq üçün 10 ballıq qiymətləndirmə sistemi üzrə 6 bal təyin etdi -
11 Sentyabr 2016, 13:37
Boşluğun statusu
Moderator tərəfindən təsdiq edildi -
08 Sentyabr 2016, 16:20
Boşluq əlavə edildi
Boşluq BUGemota əlavə edildi