Skip to content

Instantly share code, notes, and snippets.

@xsuperbug
Last active April 12, 2023 15:02
Show Gist options
  • Save xsuperbug/21d9ed0b1747294d6e62 to your computer and use it in GitHub Desktop.
Save xsuperbug/21d9ed0b1747294d6e62 to your computer and use it in GitHub Desktop.
TPO XSS Zafiyeti (Responsible disclosure)
Zafiyet Hakkında
================
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
Proof of concept
================
Dosya yükleme modülünde uzantı ve içerik kontrolü yapılmadığı için sisteme zararlı içerik yeklenebilmektedir.
(Not : XSS zafiyetinin çalışması için bağlantıda değişiklik yapılmıştır.)
Dosyanın bulunduğu hatalı sayfa:
https://assets.tpo.com/attachments/store/fit/400/160/6acd2d67aa4d15308a238040af8646de23e0e9c2ac5dadb4b4ffcb5937ef/priv.html
XSS zafiyeti içeren bağlantı :
https://assets.tpo.com/attachments/store/6acd2d67aa4d15308a238040af8646de23e0e9c2ac5dadb4b4ffcb5937ef/priv.html
Zaman Çizelgesi
================
24 Temmuz 2015 : Zafiyetin ayrıntıları iletildi.
24 Temmuz 2015 : TPO.com geri dönüş yaptı.
27 Temmuz 2015 : TPO.com zafiyetin kapandığını bildirdi.
4 Ağustos 2015 : TPO.com zafiyeti yayınlandı.
================
superbug.co Bilgi Güvenliği Topluluğu
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment