XSS в вебвизоре

в 10:24, , рубрики: xss, вебвизор, информационная безопасность, метки: ,

Здравствуйте. В конце прошлой недели я обнаружил уязвимость, которая позволяла выполнить произвольный javascript-код во время просмотра вебвизора. Естественно, первым делом я написал в саппорт и сегодня, когда я про это впомнил и решил проверить, я обнаружил, что дыру прикрыли. Вся суть была в том, что вебвизор показывал какой текст на странице пользователь выделял и никак не фильтровал эти данные. Вполне вероятно, что я не первый кто обнаружил данный баг и, возможно, кто-то им даже когда-то пользовался. Так что, если вы активно мониторили свой сайт при помощи вебвизора, то будте внимательны — вдруг ваши данные есть уже у кого-то.
Под катом видео с процессом.

Прошу прощения за качество — это был первый раз, когда я делал скринкаст и потому звук писался на ноутбучный микрофон, так что он не самый хороший.

Автор: Veseloff

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js