Обидка на Яндекс. Сливаю XSS

[red]ВНИМАНИЕ! Это сообщение исключительно информативного характера. Помните что взлом сайтов, воровство чужих данных и т. д. противозаконно.[/red]
Переходим на страницу https://yandex.ru/blog/apidisk/new написания сообщения в блог. Далее заполняем произвольный заголовок, нажимаем "Исходник" в тексте поста и вводим например: 123<script>alert(document.cookie);</script>321<hr>123 после чего жмем сохранить как черновик. Переходим к просмотру статьи - http://bit.ly/1Yftfex и видим рабочую XSS уязвимость. Так же само эту статью можно без модерации опубликовать и её будут видеть все пользователи.

Ты б лучше в ТП яндексу написал. Вознаграждение получил.

Изм. 1 раз. / Посл. изм.

Котя 0.09

(7 апр 2016, 10:03)

да толку от нее та?

Котя, отказались платить Типа знали о ней.

IvanDanilov, а ну тогда можно рекламировать допустим свой сайт.
Либо в других каких то целях использовать.

Потом Яндекс обидку кинет, в виде АГС.

Надо тогда гугл рекламить

BLVCK, за что же

Не-не, сайты конкуренты

Ладно, вы тут радуйтесь Тему я закрою что бы особо люди не начали фигней страдать