reflected XSS avito.ru
State Resolved (Closed)
Disclosed publicly 2018-12-06T09:45:27.785Z
Reported To
Weakness Cross-site Scripting (XSS) - Reflected
Bounty
Collapse


Timeline
submitted a report to Avito .
2018-04-29T17:35:44.327Z

Привет, авито)

Я нашел у вас хсс.

  1. Переходим по этой ссылке https://www.avito.ru/sankt-peterburg?verifyUserLocation=1#login?next=javascript:alert();//
  2. Логинимся через ОК, ВК и т.д.
  3. XSS выполнена.

Impact

XSS

Regards,
Frans

  • 0 attachments:
ausenok Activities::BugTriaged
2018-04-29T22:33:29.801Z
@lincoln9932, спасибо за информацию! Уязвимость действительно существует, причём не только для сценария с аутентификацией через соц. сети.


ausenok Activities::BugResolved
2018-05-10T11:49:27.350Z
@lincoln9932, уязвимость устранена. Ещё раз спасибо за сообщение о проблеме!


lincoln9932 Activities::AgreedOnGoingPublic
2018-12-03T12:52:09.518Z


lincoln9932 Activities::Comment
2018-12-05T16:10:42.857Z
Буду признателен, если откроете уязвимость раньше чем через 30 дней. Просто ей уже 7 месяцев.


ausenok Activities::AgreedOnGoingPublic
2018-12-06T09:45:27.736Z
@lincoln9932, не вижу причин этого не сделать. Ещё раз спасибо за участие в нашей программе!


ausenok Activities::ReportBecamePublic
2018-12-06T09:45:27.803Z