Конкурс уязвимостей от mail.ru — справедливо ли?

Question

[jehord]

А справедливо ли?

screencloud.net/v/DAJg

Answer 1

[v_prom]

конечно же нет. вот и помогай людям после такого(((

Answer 2

[Николай Васильчук]

Это пассивная XSS. Вы не сможете ей воспользоваться.
Это нормально, что такие баги не оплачиваются, т.к. угрозы они не несут.

Answer 3

[jehord]

Почему же не несут?
Они не несут массовую угрозу, тут я согласен, но пассивные XSS в основном применяются для конкретного пользователя.

Comments

[Николай Васильчук]

Ну и как вы используете эту xss? Попросите ввести вредоносный код в форму на сайте?

[jehord]

Сформировать url и подсунуть его пользователю, разве нет?

[Николай Васильчук]

@jehord Нужно ввести что-то в форме и нажать далее. Ссылка на страницу с внедренным кодом не формируется. Вы не сможете воспользоваться данной xss.

[jehord]

Да Вы правы, при более детальном разборе оказалось не все так просто.