Mail.ru: XSS e.mail.ru fixSpecialSymbols

Domain, site, application -- e.mail.ru Testing environment -- Firefox Steps to reproduce -- 1. send email from 2. add sender to contacts on https://e.mail.ru/messages/inbox/ 3. using Firefox go to https://e.mail.ru/compose/ 4. click on Кому: to open Contacts Actual results -- alert message Expect...

Mail.ru: XSS on e.mail.ru via postMessage

URI Get parameters based XSS in https://e.mail.ru/cgi-bin/login via combination of factors controllable script name via NUL characters inection, availability of script with known vulnerability within domain...

Mail.ru: Xss в https://e.mail.ru/

Приветствую , Я нашел xss на https://e.mail.ru/ , похоже, это self-xss, но, возможно,в будущем вы будите планировать расшаривать данную функциональность и это будет не self-xss, в том числе комбинация csrf logout/csrf login может расширить её функционал. Алсо, эта self-xss обходит текущие правила...

Mail.ru: Stored XSS in e.mail.ru (payload affect multiple users)

Hi, We have found a high risk level STORED XSS in e.mail.ru chat, the status change function allow to inject malicious payload in javascript & HTML, The attack affect multiple users and run in auto mode, no need a user interaction. Vulnerability affect any user that have been invited to your chat...

Mail.ru: HTML Injection на e.mail.ru

Здравствуйте, Я обнаружил HTML инъекцию на e.mail.ru с помощью текстовых файлов формата .txt Proof of concept: Создаем HTML файл с правильными тегами, то есть html head body... должны присутствовать. Иначе файл не будет воспроизведен как HTML Меняем конец файла на .txt Далее сжимаем этот файл при...

Mail.ru: e.mail.ru stored XSS in agent via sticker (smile)

Привет : смотрим скриншот : XSS в сообщениях агента с помощью стикера смайла. Отправка меседжа со стикером и XSS выглядит так: POST https://jim45.mail.ru/message?session=48280&r=18426&sdc=1 HTTP/1.1 Accept: / Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Referer...