Основные блоги b.Z » Все блоги » Про интернет » [Перевод] Как забытый парсер ссылок привел к XSS на Reddit: Уязвимость на $5000, которая скрывалась в редакторе постов Reddit

[Перевод] Как забытый парсер ссылок привел к XSS на Reddit: Уязвимость на $5000, которая скрывалась в редакторе постов Reddit

Все блоги / Про интернет 13 июля 2025 31   
Смотреть в Telegram Поделиться в TG

В этой статье разбирем XSS уязвимость, обнаруженную в парсере Reddit, который при определенном условии (запланированных постах)  не очищал гиперссылки. Уязвимость была не в живом контенте — она скрывалась в редакторе. Эта находка принесла $5000 вознаграждения.

Уязвимость за 60 секунд  

Цель: Запланированные посты на Reddit
Вектор: Вредоносная гиперссылка, встроенная с использованием javascript
Триггер: Редактирование запланированного поста через интерфейс  
Влияние: XSS на привилегированных пользователей (администраторов/модераторов) в один клик

Читать далее

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Как новости взрывают интернет

Alex Leavitt: Upvoting the News, в переводе бюро переводов Lingoware. В пятницу вечером в Лос-Анджелесе произошло землетрясение. 5,1 балла в восточной части города. Мы были дома, когда начались первые толчки, но по-настоящему испугались только тогда, когда стало ясно, что толчки длятся намного

подробнее »
8 апреля 2014
Иранский «отец блогов»: Социальные сети — это не будущее интернета. Это будущее телевидения

Хоссейн Дерахшан попал в тюрьму за блогерство. Выйдя из неё, он обнаружил, что интернет растерял свою силу изменять мир и теперь служит лишь источником бесполезной информации в соцсетях. Оригинальная колонка Дерахшана в The Guardian. Редакция Roem.ru благодарит бюро переводов Top-Translate.ru за

подробнее »
22 января 2016
Тоня Самсонова, «Яндекс.Q»: о травле, трафике и нейросетях в UGC

Roem публикует текстовую версию интервью основательницы The Question и главы «Яндекс.Q» Тони Самсоновой подкасту «Медиасреда». Разговор состоялся в декабре 2019 года. В беседе Тоня рассказала о: Создании нового сервиса на базе TheQuestion и «Яндекс.Знатоков». Том каким будет «Яндекс.Q». Как

подробнее »
11 апреля 2020
Про Facebook и сложности новостной ленты

Каждая страница компании, бренда или знаменитости в Facebook стремится к тому, чтобы все её новые посты попадали в ленту. Но ведь каждый пользователь просматривает за день ограниченное количество постов. Поэтому конкуренция за просмотры и охват аудитории растет с каждым днем. А тут еще и сама

подробнее »
5 апреля 2014
Ангелина: Как получить качественные обратные ссылки: 21 стратегия, которая все еще работает

Высококачественные обратные ссылки, указывающие на сайт, являются одним из важнейших факторов ранжирования поиска Когда другие высококачественные сайты ссылаются на сайт, он посылает положительные сигналы поисковым системам, говоря им, что ссылка на сайт ценна, полезна, и результат поисковики будут

подробнее »
18 февраля 2021
Расставляем медиасферу по полочкам с Александром Амзиным: подкаст Юрия Синодова и Маши Георгиевской

Приветствую, это Юрий Синодов. У нас сегодня представление нового формата для Roem.ru: это подкасты с участниками медиарынка которые я готовлю в роли директора по развитию обменной сети СМИ2 (где я работаю с апреля 2019-го года). Проект производится вместе с изданием Adindex.ru, я в нём один из

подробнее »
21 октября 2019
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии