Ещё одна уязвиомть Codeforces.

Правка en1, от Proventus, 2019-06-13 12:36:32
Изучая создание блогов на Codeforces, я заметил интересную вещь. Тег (/p) в тексте позволяет выбежать из параграфа и не фильтруется. Первая мысль которая приходит в подобной ситуации — "XSS!". Но не так быстро. CF фильтрует некоторые теги и запрещает добавлять их в пост, а также, убирает некоторые параметры из тегов(например onload или onclick в img).
Теперь мы можем делать запросы через браузер пользователя на нужный сервер, а к чему это ведёт — я уже описывал здесь. Возможно, это может привести к ещё более серьёзным последствиям, если хорошенько поковырть фильтр.
И напоследок, ссылка на тот-же счётчик просмотров поста, созданный через данную уязвимость.

Количество просмотров двух постов суммарно
P.S.: А ещё можно делать прикольное офромление текста)
P.P.S.: Когда уязвимость поправят, не кидайте сильно тапками в пост.
Теги баг, #codeforces, фича, изображение

История

 
 
 
 
Правки
 
 
  Rev. Язык Кто Когда Δ Комментарий
en1 Английский Proventus 2019-06-13 12:36:32 1148 Initial revision (published)