Markafoni XSS Açığı

markafoni.com ‘ daki XSS açığı şu şekildeydi:

Anasayfadaki arama barında javascript kodunuzu çalıştırabiliyordunuz.( script type=”text/javahedehodoad” ile başlarsanız değil tabii ki.)

markafoni-guvenlik-acigi2

destek@markafoni.com’ a XSS açığı bulduğuma geri dönüş sağladığınız takdirde anlatacağımı söyledim. Güvenlik ve Kalite ekibinin takım lideri aradı ve açığın ne olduğunu anlattım. Geri dönüş yapıp bu açığı ileri taşıdık ve bu büyük bir açık lütfen gizlilik çerçevesinde tutalım deyip yönetime sunacağını bildirdi.

Sonuç olarak; açığı yaklaşık 3 saat sonra kapadılar ve sadece teşekkür ettiler.

Edit : 250 TL Markafoni.com’ da kullanmak uzere cek hediye ettiler. Bu çekle de yaklaşık 650 liralık alışveriş yaptım, aldığım ürünlerin birçoğu da olmadı zira, geri iade etsem bana 650 liralık ödeme yapacaklarına adım gibi emindim fakat uğraşmak istemedim.