04 abril, 2016

XSS en Tradukka



Hola a tod@s


Ayer necesitaba traducir un texto y como es habitual tire de un traductor que conocía hace tiempo, pero nunca me puse a analizarlo, su nombre Tradukka, se trata de unos de los traductores más usados por su calidad de traducción más real, comparado con traductores como el de Google que traduce bastante mal.


Tras un simple vistazo, en la URL: http://tradukka.com/translate/en/es/ probé tipo de inyecciones, tras unas cuantas pruebas y payload, bingo! Entro en mi gustirin que nos entra a los que nos dedicamos a esto. Una mezcla  de placer y satisfacción. Mi cara de malo :p  encontré un Cross Site Scripting en la parte pública de la web, más concretamente en la URL principal del aplicativo web.




Vector:'><img src=x onerror=alert("XSS");>

Estado: Solucionado.


La verdad que el equipo de Tradukka ha sido muy rápido en solucionar la vulnerabilidad, lo notifique ayer por la tarde y hoy ya estaba solucionado.

Por lo visto no tienen bug bounty, así que no recibí ni un €, tampoco tienen hall of fame, me han comentado que tienen uno interno. Eso sí me han dado las gracias por Twitter.


No seáis malos.

0 comentarios:

Publicar un comentario