ソース:
訳:
私の主な目標は XSS を見つけることでしたので、ユーザーの入力を検索していて。 Web アプリの動作を観察するために、ランダムな文字列を入力して検索バーのテストを開始し。
ブラウザー DevTools で応答を見ると、二重引用符がフィルターされていないことがわかり、次のようなタグが見つかって。
そこで、属性を閉じるために二重引用符でそれをバイパスしようと。
それはうまくいきます、完璧で。
次に、この脆弱性を悪用して XSS を取得してみて。
ここのタグは div なので、タグが次のようにペイロード「onpointerover=”alert('XSS')」を使用できて。
やあ、これがポップアップです!
この件で私は 75 ドルの報奨金を受け取り。
重大度が中程度としては大したことではありませんが、すでに 100 件以上の脆弱性が報告されているバグ報奨金プログラムで XSS 脆弱性を見つける可能性が依然としてあることが確認されたので、特にモチベーションが高まり。
ほなほな。