XSS уязвимость в Mobli

Совсем недавно мне нужно было загрузить ролик на Mobli, но так как после прошлого случая, у меня появилась привычка проверять сайты на XSS, я решил проверить Mobli. Mobli — это социальная сеть для обмена фотографиями и видео. Примерное кол-во пользователей 22 миллиона.

image

Я решил начать с банального

Вставил это в название своего поста и, вы не поверите — сработало.

Более того, оно сработало в Desktop версии приложения, через которое я загружал фотографию.Честно говоря, я этого не ожидал.

image

Вот тот же пост, только в браузере

image

Такая же ситуация с комментариями, т.е. можно вставить любой JS скрипт в комментариях фотографии и это будет работать. Конечно, там есть лимит в 150 символов, но его можно легко обойти подключением стороннего JS, но нужно учесть, что у них https и они не подключают js скрипты с доменов с http://

Это тоже можно легко обойти, надо всего лишь найти Online proxy с https соединением, но это работает до тех пор, пока не сдохнет ссылка от прокси и сторонний скрипт не подключается в Desktop версии приложения.

P.S. Я писал в поддержку Mobli, пытался написать через Linkedin, но, кажется, им не до этого.

P.P. S. На самом деле, мне даже неловко называть это уязвимостью, потому что, как мне кажется, каждый кто начинает разрабатывать проект, заботится о фильтрации данных.

© Habrahabr.ru