Всем привет! Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта. Нестабильная XSS На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов: ▫️tv․mail․ru; ▫️health․mail․ru; ▫️deti․mail․ru; но фикс был в одном месте. 🔹 Ссылка на отчет XSS через SVG В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL. 🔹 Ссылка на отчет Тайминг-атака на восстановление аккаунта VK ID На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время. 🔹 Ссылка на отчет Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями! 🔹 Обсудить репорты вживую, поспорить с коллегами и задать вопросы экспертам VK? Легко! 19 марта на VK Security Confab! Зарегистрироваться VK Security | Буст этому каналу! #bugbounty #разборы #confab