mi.com | Bug XSS In website Xiaomi
How i found bug XSS (Cross-site-scripting) in website xiaomi hai, kali ini saya bakalan share bug XSS di salah satu website xiaomi yaitu di mi.com sedikit tentang website mi.com : global.mi.com adalah salah satu website xiaomi store dan informasi tentang produk xiaomi bisa kita lihat di website tersebut seperti spesifikasi dan harga asli xiaomi, ga banyak juga yang saya tau namun lebih lengkap nya bisa anda lihat di global.mi.com PoC : script xss : '">><marquee><img src=x onerror=confirm (document.cookie)></ marquee> url vuln : https://global.mi.com/en/user/address 1. buat address baru kemudian isi kota dengan script xss di atas 2. klik save 3. xss posed Hall Of Fame Overall : 208 https://sec.xiaomi.com/fame?year=2017&month=10 Timeline : • 31 oktober 2017 : Poc Send via sec.xiaomi.com • 1 november 2017 : Under View • 2 november 2017 : bug fixed • 2 november 2017 : hall of fame sec.xiaomi.com https:/