[Багхантинг] Blind XSS уязвимость на сайтах службы поддержки omnidesk

Предыстория: История эта начинается с того, что во многих пабликах, на которые я подписан, увидел посев групп с бесплатными ключами vk.com/******* и vk.com/*****. Посевы эти дорогие, производились в группах от 250 000 до 5 000 000 подписчиков, например в группе Наука и Техника. Группы предлагали каждому бесплатный ключ за подписку. Примерно через полмесяца увидел, что первая группа выросла до 109 тысяч подписчиков. Тут любому понятно, что бесплатный ключ люди не получат, ведь бесплатных ключей на 100 к человек не «напасешся». Немного осмотрев группу, я понял что «реальные» отзывы о получении бесплатных ключей подделка, ведь скриншоты из отзывов все время кидают одинаковые и ссылки на людей поддельные.





Самое интересное то, что люди на всё это до сих пор ведутся, вступают в группу в надежде на бесплатный ключ, делают репост в надежде на то, что им повезет и они выиграют дорогой игровой PC(но мы то знаем, что никто PC не получит), когда они хотят получить что-то бесплатно, ими легко манипулировать для своих целей.



Вся суть постов в группе — это реклама реферальной ссылки на сайт ***random.ru и получение выгоды.



Посмотрим на него.
Читать дальше →

Источник: Хабрахабр