Selamlar herkese sabah whois sorgulamak için girdiğim yerde 10 dakikada bulduğum xss'tir.
-Pek zararı olur mu?
+Tabikide olur.
prompt değeri alınarak üyelerin hesabı çalınabilir yada benım yaptığım gibi url kısmına html tagları içinde index atılabilir bu heyk sayılmaz ama yinede {reflected xss} en tehlikeli açık türüdür.
Ödül : 0$
Açık hala aktif kendiniz deneyebilirsiniz.
PoC:
[like]
Url : https://spyhackerz.org/whois.php?domain
Payload: ">$cat /<img id=%26%23x101; src=x onerror=%26%23x101;;alert`HEYKID-BY-LETRX`;>
[/like]
LETRX
Yakup YILDIR
-Pek zararı olur mu?
+Tabikide olur.
prompt değeri alınarak üyelerin hesabı çalınabilir yada benım yaptığım gibi url kısmına html tagları içinde index atılabilir bu heyk sayılmaz ama yinede {reflected xss} en tehlikeli açık türüdür.
Ödül : 0$
Açık hala aktif kendiniz deneyebilirsiniz.
PoC:
View hidden content is available for registered users!
[like]
Url : https://spyhackerz.org/whois.php?domain
Payload: ">$cat /<img id=%26%23x101; src=x onerror=%26%23x101;;alert`HEYKID-BY-LETRX`;>
LETRX
Yakup YILDIR