XSS на ozon.ru

Приступим.
Дело было вечером, Делать было нечего.
Я рыскал по всему рунету в надежде найти 1 интересную вещь. (Модель ноутбука)
Как вдруг я наткнулся на ozon.ru
Уже позже я узнал, что это 1 из крупных магазинов в рунете.
Мне стало очень интересно что это за магазин?
И от своего "природного" интереса я ввёл в строку поиска:
</script>alert(1)</script>
Я увидел, что сервер оставил только alert(1)
Это уже значило что фильтровал он самую малость.
( в данном случае он смог отфильтровать только <script> )
Ну что же.
Я вспомнил, что читал на хабре про приём с Unicode.
Приступим.
Откопав таблицу знаков Unicode, я перекодировал payload.
получилось вот это:
u0061lert("hack")
Далее я проверил фильтруются ли следующие символы:
',|,\,) и другие.
И получил на выходе:
'|\u0061lert("hack")|'
Ну что же, проверим?

ну, так вот.
немного обрадовался. Пошёл писать в поддержку озона.
увы, но не все ценят "безопасность".

Это лишь пример.
кому не так трудно, накиньте на чай.

 

Работает до сих пор. Пруф. Зелени этому господину и вперед - за куками?

 

'|alert("hack")|'
И так работает

 

Умница! ВСЁ работает!

 

в хроме работает

 

Такой код не сработает никогда.

 

Fixed.

 

коллега нашел sql иньекцию.
сплоит почти дописан.
посмотрим на реакцию азона.
возможно продадим в хорошие руки)
удачи

 

Тоесть ты решил и эту язву загубить?!

 

я им отписал о находке.
ежели нету наград, то пусть пойдут лесом...
я лучше тут продам или на хф.
пусть бд льют.
похуй

 

А суть? Каталог Озона доступен для выгрузки. Пароли - под хэшем.
В чем цимус, Карл?)

 

База для email/sms рассылки.

 

Слабый аргумент. Баз для рассылок итак пруд-пруди.

 

какеры думают, что там номера кредиток прямо в текстовом файле на рабочем столе лежат

 

Ты сообщил, они пофиксили!
Сообщи за вторую и её постигнет та же участь!
Всё в нормах... white!
Но ты ж хотел монетизировать находку...? тогда мне не понятен этот твой