💢 برای کسانی که میخوان سریع به آسیب پذیری برسن این روش میتونه خیلی کمک بکنه
⭕️ یک هکر با این روش به آسیب پذیری Xss رسیده بود و تونسته بود 100 دلار بگیره
❌ روش کار اینطوری بوده که به سایت مورد نظر لاگین کرده و با دنبال کردن Url ها به یک آدرسی رسیده که پارامتری داشته به اسم redirect_url میاد به این پارامتر یک پیلود Xss تزریق میکنه و همونطور که میبینید باگ Xss نمایان شد:)
https://learn.acronis.com/portal/licensing-check?redirect_url=javascript:alert(document.domain)
♦️ چون سناریو خاصی برای این آسیب پذیری ارائه نشده بود مبلغش پایین بوده صدرصد اگر سناریو حمله طراحی بشه براش قیمتش افزایش پیدا میکنه ، پس سعی کنید آسیب پذیری رو در کنار سناریو حمله گزارش کنید (Impact)
@UltraSecurity
⭕️ یک هکر با این روش به آسیب پذیری Xss رسیده بود و تونسته بود 100 دلار بگیره
❌ روش کار اینطوری بوده که به سایت مورد نظر لاگین کرده و با دنبال کردن Url ها به یک آدرسی رسیده که پارامتری داشته به اسم redirect_url میاد به این پارامتر یک پیلود Xss تزریق میکنه و همونطور که میبینید باگ Xss نمایان شد:)
https://learn.acronis.com/portal/licensing-check?redirect_url=javascript:alert(document.domain)
♦️ چون سناریو خاصی برای این آسیب پذیری ارائه نشده بود مبلغش پایین بوده صدرصد اگر سناریو حمله طراحی بشه براش قیمتش افزایش پیدا میکنه ، پس سعی کنید آسیب پذیری رو در کنار سناریو حمله گزارش کنید (Impact)
@UltraSecurity