일일일보(1일 1보고서)
Report Information
Report URL (보고서 URL): https://hackerone.com/reports/2055132
Report Title (보고서 제목): reflected xss in https://wordpress.com/start/account/user
Severity (취약점 등급): Medium(4 - 6.9)
Weakness (취약점 유형): Cross-site Scripting(XSS) - Reflected
Bounty (포상금):None
Reported Date(보고 날짜) : July 7, 2023
Report Review
로그인 한 뒤 위 주소에 방문하게 되면 XSS가 발생하게 됩니다.
해당 경로는 새로운 계정을 만드는 url로 추측되며, redirect_to 파라미터에 들어오는 url로 redirect 시켜주는 기능이 존재하는 것으로 추측, 따라서 javascript schema를 이용하여 JS코드를 발생시키는 Reflected XSS 취약점
공격 payload 자체는 간단하지만, 그에비해 파급력은 크기 때문에 wordpress 관계자는 심각성을 중간으로 높은 심각성을 부여하였다.
반응형
'Web Hacking > 일일일보(1일 1보고서)' 카테고리의 다른 글
| [일일일보] Mars 취약점 (subdomain takeover) (0) | 2023.11.17 |
|---|---|
| [일일일보] Blind Sql Injection https:/████████ (0) | 2023.07.25 |
| [일일일보] - PatchdDay api에서 발생하는 비 로그인 유저의 정보 열람 (0) | 2023.07.12 |
