• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Решено Разбираемся в проблеме translate.google xss

S

skill

Active member
06.02.2018
39
26
Привет народ тут решил проверить translate на разных сайтах.
Думал как будет переводить сайт с выполнением <a href=></a>
Был написан простой html ввида:
Разбираемся в проблеме translate.google xss

Залил я html на хостинг для наглядности и решил посмотреть как переведет эту страницу google
Вывод:
Разбираемся в проблеме translate.google xss
Получилось как то так, но есть слово Found перевел его в Найденный) думаю кликну будет ли переход на bing.com
И переход получился на поисковик видео будет ниже для наглядности
Дальше думаю посмотреть как же дела у microsoft
Разбираемся в проблеме translate.google xss
Как видим также но если заметили доменные имена от user идут и тут некоторые мысли есть но не сейчас, а в процессе теста дальше.
Также решил посмотреть на яндексе но там пофиксили видать, в плане назвать ее проблемой как и нет но есть ряд моментов которые хочется понять
Например: если пользователь авторизован на гугле и когда user перейдет посылке получится ли украсть куки?
Также можно делать переход на другой домен если правильно сделать html чтобы пользователь нажал переход, то откроется сайт внутри сайта и не предложить скачать какое нить обновление типа Adobe_flash.
Но это всего лишь мысли может кто еще что придумает или развит эту самую "уязвимость" было бы интересно )
Видео приложу ниже
 
  • Нравится
Реакции: CyberX88
S

skill

Active member
06.02.2018
39
26
Решил выложить еще видео дабы не создавать еще тему
проблема на сайте help.ubnt.com - xss
проблема уже закрыта но самое что удивляет как отписались разработчики это self-xss и не несет в себе уязвимости типа пошел на..ер)
Уже до этого 3 уязвимости выкладывал на HackerOne сайт г***о как и те кто его создал все делается по принципу так где-то разработчики оставили дырку, звонят другу говорят где описывают пишут на HackerOne делят награду обычному кто первый раз выложил уязвимость посылают на ..
Такое уже было и с twitter и другими площадками
Вот видео о уязвимости xss - если я не прав или кто-то думает по другу интересно увидеть ваше мнение

 
Последнее редактирование модератором:
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб