[Перевод] Как забытый парсер ссылок привел к XSS на Reddit: Уязвимость на $5000, которая скрывалась в редакторе постов Reddit

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

[Перевод] Как забытый парсер ссылок привел к XSS на Reddit: Уязвимость на $5000, которая скрывалась в редакторе постов Reddit

13.07.2025 15:25:15 | Хабр

Хабы: Информационная безопасность, Bug hunters

В этой статье разбирем XSS уязвимость, обнаруженную в парсере Reddit, который при определенном условии (запланированных постах) не очищал гиперссылки. Уязвимость была не в живом контенте — она скрывалась в редакторе. Эта находка принесла $5000 вознаграждения.

Уязвимость за 60 секунд

Цель: Запланированные посты на Reddit
Вектор: Вредоносная гиперссылка, встроенная с использованием javascript
Триггер: Редактирование запланированного поста через интерфейс
Влияние: XSS на привилегированных пользователей (администраторов/модераторов) в один клик

Читать далее

Подробнее

Читайте также

Nintendo моментально заблокировала владельца Switch 2 за подозрительные картриджи
13.07.2025 15:00:00 | ferra.ru

Глава 3: Мышление и философия продакта
13.07.2025 14:41:00 | Хабр

Японские ретро тетрисы, которые учат нас думать по-другому
13.07.2025 14:24:55 | Хабр

О графике в Unity: Графический конвейер
13.07.2025 14:22:00 | Хабр

OpenAI снова отложила выпуск своей открытой модели ИИ
13.07.2025 14:15:55 | ferra.ru

Wylsacom посоветовал игрокам защитить консоли от перегрева, купив охлаждение
13.07.2025 14:15:00 | ferra.ru

Американская Delta начала снимать двигатели с новых Airbus в ЕС и устанавливать их в самолёты, простаивающие в США, чтобы избежать тарифов на импорт
13.07.2025 14:04:20 | vc.ru

Как выйти из IT?.. и пойти слесарем на завод. Моя попыточка дауншифтинга [14]
13.07.2025 13:39:06 | Хабр

Суд признал, что Insta360 «украла» дизайн камеры у GoPro
13.07.2025 13:30:54 | ferra.ru

Дуров заявил, что власти Франции пошли «крестовым походом» на свободу слова
13.07.2025 13:30:00 | ferra.ru

Опыт ≠ меньше денег: за что в ИТ мы на самом деле платим
13.07.2025 13:16:50 | Хабр

Кладбище криминальных экшенов. Почему почти все клоны GTA провалились, а студии закрылись
13.07.2025 13:05:11 | Хабр

Большое испытание кальциевых аккумуляторов, часть 2: недозаряд портит, а кипячение убивает
13.07.2025 13:01:06 | Хабр

Смартфоны Oppo K13 Turbo и Turbo Pro будут отличаться процессорами
13.07.2025 12:45:52 | ferra.ru

Итальянский суд поддержал требование местных властей к UniCredit по уходу из России для покупки банка Banco BPM
13.07.2025 12:28:18 | vc.ru

MES-система
13.07.2025 12:22:52 | Хабр

Алгоритм Диница: как найти максимальный поток в сети (для начинающих)
13.07.2025 12:15:58 | Хабр

Как я пришёл в open source в 2025-м (с утилитой для бекапа PostgreSQL), чуть не потеряв проект на ~$1500мес в 2023-м
13.07.2025 12:00:55 | Хабр

В США попросили главу Nvidia не общаться с подсанкционными китайскими компаниями
13.07.2025 12:00:50 | ferra.ru

Мобильная разработка за неделю #593 (7 — 13 июля)
13.07.2025 11:52:22 | Хабр

Пример работы современной антропологии и краниометрии
13.07.2025 11:46:55 | Хабр

Нейтрино
13.07.2025 11:22:48 | Хабр

Шифрование на основе хешей
13.07.2025 11:16:47 | Хабр

Дизайнер электрокаров Xiaomi ответил на сравнение SU7 с Porsche
13.07.2025 11:15:49 | ferra.ru

Как дизайн Kaspersky Thin Client пережил подростковый бунт (и что из этого вышло)
13.07.2025 10:15:41 | Хабр

Свой ChatGPT на документах: делаем RAG с нуля
13.07.2025 10:08:14 | Хабр

Скоро без нас: когда роботы окончательно отберут нашу работу?
13.07.2025 09:52:14 | Хабр

Сделка OpenAI с Windsurf сорвана — глава Windsurf переходит в Google
13.07.2025 09:45:44 | ferra.ru

Как мы анализируем сетевые аномалии с помощью Suricata и машинного обучения
13.07.2025 09:16:34 | Хабр

Kubernetes на базе Deckhouse в облаке Linx Cloud: встроенный мониторинг, безопасность и управление сертификатами
13.07.2025 09:02:51 | Хабр

[Перевод] От React всё также веет безумием, но все об этом молчат
13.07.2025 09:01:30 | Хабр

Даже «соцсети будущего» Bluesky пришлось ввести проверку возраста британцев
13.07.2025 09:00:43 | ferra.ru

«Хочу, но боюсь и не делаю»: что делать со страхом того, что не получится?
13.07.2025 08:16:23 | Хабр

Министры экологии ЕС проверили свою кровь на «вечные химикаты»
13.07.2025 08:15:41 | ferra.ru

[Перевод] Новый рекорд по упаковке сфер неожиданно пришёл из геометрии
13.07.2025 08:13:21 | Хабр

Смотреть все

СТАТЬ АВТОРОМ

НОВОСТИ

AP: пожар уничтожил отель и десятки построек в парке Grand Canyon
14.07.2025 12:21:08 | ТАСС

Собянин рассказал о подметально-вакуумных машинах
14.07.2025 12:20:35 | РЕН ТВ

AC: Предоставление американской помощи Киеву может столкнуться с новыми паузами
14.07.2025 12:19:00 | Российская Газета

ВС России заблокировали несколько сотен бойцов ВСУ на границе с Днепропетровской областью
14.07.2025 12:17:58 | Lenta.ru

Более 1,9 тысячи автомобилей скопилось в пробках у Крымского моста
14.07.2025 12:16:22 | Life.ru

Ловцы душ: как фотограф сколотил состояние на снимках с "призраками"
14.07.2025 12:16:21 | РЕН ТВ

Французский политолог Руссе: Шанс Европы на роль в мире - в союзе с Россией
14.07.2025 12:16:00 | Российская Газета

Российский Supercam скорректировал гаубицу Д-30
14.07.2025 12:15:38 | Lenta.ru

ТАСС вместе с РГАНТД открыли фотовыставку к годовщине полета "Союз-Аполлон"
14.07.2025 12:15:34 | ТАСС

Запуск первой очереди завода медизделий под Новосибирском перенесли на 2026 год
14.07.2025 12:15:18 | ТАСС

Власти Эстонии официально лишили Русский театр национального названия
14.07.2025 12:14:47 | Life.ru

Москалькова отметила снижение числа поступающих от инвалидов обращений
14.07.2025 12:14:47 | ТАСС

Акции национализированного золотодобытчика подросли после обвала
14.07.2025 12:14:37 | Lenta.ru

Армия России освободила Малиновку в Запорожской области
14.07.2025 12:14:13 | РЕН ТВ

Писатель Борис Акунин* не признал вину в оправдании терроризма
14.07.2025 12:13:53 | Life.ru

Российские войска начали зачистку под Константиновкой
14.07.2025 12:13:16 | Lenta.ru

На Урале прогнозируют переменную облачность и до 26 градусов тепла
14.07.2025 12:12:46 | ТАСС

Армия России освободила Маяк в ДНР и Малиновку в Запорожской области
14.07.2025 12:12:15 | Life.ru

Экс-совладельца Внешпромбанка Беджамова заочно приговорили к 14 годам за растрату
14.07.2025 12:12:05 | ТАСС

В Берлине начался суд над врачом по делу об убийстве 15 человек
14.07.2025 12:10:34 | ТАСС

Составлен топ-10 стран по запасам золотых резервов
14.07.2025 12:10:32 | Lenta.ru

ВС РФ за сутки поразили предприятие по производству боеприпасов для ВСУ
14.07.2025 12:10:23 | ТАСС

Лишенный российского гражданства блогер Субо уклонился от налогов на миллионы рублей
14.07.2025 12:10:21 | Lenta.ru

На Каспии в Дагестане построят магистральный коллектор
14.07.2025 12:10:04 | ТАСС

Красный Полумесяц заявил о гибели в Иране 167 женщин и детей из-за атак Израиля
14.07.2025 12:09:38 | ТАСС

Пострадавших от пациента с ножом иркутских медиков выписали из больницы
14.07.2025 12:09:37 | ТАСС

Армия России взяла под контроль Маяк
14.07.2025 12:08:50 | Lenta.ru

Российским регионам спишут многомиллиардные долги по кредитам
14.07.2025 12:08:46 | Lenta.ru

Фигурант дела о массовом ДТП в Саратове шесть раз привлекался за нарушения ПДД
14.07.2025 12:08:35 | ТАСС

Артисты проекта Газманова "Родники" выступили в Белгороде для харьковских переселенцев
14.07.2025 12:08:22 | ТАСС

Российские войска атаковали позиции иностранных наемников ВСУ
14.07.2025 12:08:21 | Lenta.ru

"Денежный дождь" с вертолета над США объяснили предсмертным желанием автомойщика
14.07.2025 12:08:00 | Российская Газета

Раскрыта возможная цель визита Келлога на Украину
14.07.2025 12:07:57 | Lenta.ru

В одном из районов Прибайкалья ввели режим ЧС из-за лесных пожаров
14.07.2025 12:07:37 | ТАСС

ВСУ потеряли около 1 105 военных за сутки
14.07.2025 12:07:26 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2025 - vsetut.pro