2018年7月ごろまでココナラにあった反射型のXSS。
スクショとかは撮っていなかった。
- https://coconala.com/categories/191?layout="><script>alert(1)</script>
- https://coconala.com/categories/191?pro_priority_display="><script>alert(1)</script>
6月にXSSを見つけて、他のココナラについての問い合わせと一緒にサポートに連絡した。
XSSについては関連部署に伝えるとのことだったが、報告してから丸1ヶ月間XSSはそのまま残っていた。
サポートにXSSを伝えても無駄だと思ったので、Twitterでココナラの取締役を見つけてDMでXSSを報告した。
たしかそれから1週間くらいでXSSは直ったと思う。
ついでにココナラのクソな仕様について不満を書いたらそっちは無視された。