yt-metabot-user-js icon indicating copy to clipboard operation
yt-metabot-user-js copied to clipboard

Published 20 hours ago verified publisher icon asrdri

XSS Уязвимость

Open ftoh opened this issue 6 years ago • 0 comments

Владелец списков может внедрять собсвенный код в страницу пользователей и c его помощью выполнять любые действия от имени пользователя: ставить лайки/дизлайки под видео/комментариями, кидать жалобы, отписываться/подписываться на каналы. На крайний случай может внедрить рекламу/майнер, украсть куки пользователя.

Как воспроизвести:

  1. В настройках скрипта ставим пользователский список: https://pastebin.com/raw/1Za7jx91
  2. Заходим на любое видео к kamikadzedead, под которым есть закрепленный комментарий от него. Например, СТРЕЛОК В КЕРЧИ БЫЛ НЕ ОДИН - ВИДЕО.
  3. Спускаемся в комментарии, ждем когда они подгрузятся.
  4. Видим окно с сообщением.

Как защититься до устранения уязвимости

Временно удалить все списки из настроек, авторам которых Вы не доверяете.

ftoh avatar Oct 20 '18 13:10 ftoh