Блог пользователя 60SecondsInAfrica

Автор 60SecondsInAfrica, история, 4 года назад, По-английски

Dear Codeforces community. recently, kostia244 found out that codeforces parses custom CSS & HTML in this comment: https://mirror.codeforces.com/blog/entry/82468?#comment-693536

This could potentially be exploited by putting a malicious URL to steal a user's cookies and login sessions. Obviously making a PoC would be illegal but I would like to discuss whether or not that's even possible, and if so notify the admins to fix.

This is could be dangerous, this text is not even a part of the image

https://www.mike-gualtieri.com/posts/stealing-data-with-css-attack-and-defense

  • Проголосовать: нравится
  • +115
  • Проголосовать: не нравится

»
4 года назад, # |
  Проголосовать: нравится +92 Проголосовать: не нравится

I don't see any way this could be abused.

»
4 года назад, # |
  Проголосовать: нравится +62 Проголосовать: не нравится
test
»
4 года назад, # |
  Проголосовать: нравится +24 Проголосовать: не нравится

none of the xss attacks I tried worked, but you can still do some funny shit
a trick to get stuff outside of the comment box is to wrap an outer element around something that has shitloads of margin

bruh moment

»
4 года назад, # |
  Проголосовать: нравится 0 Проголосовать: не нравится

Is it Good morning?

Hello World
Hehe
»
4 года назад, # |
Rev. 4   Проголосовать: нравится +29 Проголосовать: не нравится

»
4 года назад, # |
Rev. 5   Проголосовать: нравится +4 Проголосовать: не нравится