38

More than 5 years have passed since last update.

@yamadashy(Kazuki Yamada)

Qiitaの脆弱性を見つけた話

Last updated at 2015-07-07Posted at 2015-07-07

XSS脆弱性を利用して勝手にストックされる記事を投稿しところ、当然ながら運営に限定公開にされました。

修正のコミット
https://github.com/increments/qiita-markdown/commit/f8165300b443e549ea8dc70c321da5ffe9cbf296?diff=split

発見の流れ

マークダウンのタグにclassが指定できた
BootStrapのコンポーネントが使えた
Tooltipコンポーネントにscriptタグを埋め込んだ

最後に

Qiitaにも脆弱性報酬金制度が欲しいですね。

38

Register as a new user and use Qiita more conveniently

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up

38