Уязвимость к XSS на сайте mts.ru, YandexBogBounty

Вечер публикации уязвимостей. 2 штуки на 8к в рамках YandexBugBounty скинул в тему на RDot.

Аккурат перед ZeroNights, выбирая себе тариф на интернет для смартфона на сайте МТС, с первой попытки нашел XSS. Складывается впечатление, что либо у них все совсем плохо, либо мне везет. Был инжект напрямую в JS, даже тега script не понадобилось. И, наверное, потому встроенная защита Chrome не помогла.

Письмо от 17.11.2012:

На вашем сайте есть уязвимость к атакам XSS.
Если к print дописать что-то, получим страницу, на которой в функции GetYandexCount() в переменную currentUrl попадают данные из адресной строки без необходимой обработки
function GetYandexCount() {
var currentUrl = ‘http://www.spb.mts.ru/news/2012-07-19-1738630/printXSS/‘; //window.location;
var siteSection = ‘ab’;
var title = ‘Новости’;
if (currentUrl.length>0)
YandexCounterService.Services.YandexCounterV2.GetCount(currentUrl, title, siteSection, OnLookupComplete);
}
Например, так можно вывести cookie
Работает на последних на текущий момент Chrome, Firefox, Opera. Во вложении скриншот в Chrome.
Кроме того, у следующих cookie нет флага HttpOnly
userinfoMsisdn
userinfoTariff
userinfoBonus
userinfoBalance
mts_xss_2012-11-17
Запись опубликована в рубрике Web Application Security с метками , , . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *