Showing 16 Result(s)

Nezabezpečený přístup k osobním údajům milionu uživatelů Leo Expressu

Leo Express je společnost provozující vlakové a autobusové linky v Česku a ve střední Evropě.
Když jsem se zaregistroval, všiml jsem si, že při každém načtení stránky se odesílá GraphQL požadavek na jejich server, který vrací údaje o mém účtu.
GraphQL je dotazovací jazyk, alternativa k RESTu, který v jednom požadavku vrací data definovaná na straně klienta.

Reflected XSS in Google Code Jam

Information about this XSS:The XSS will be fired in the toast message. Also, it seems like you have to open the homepage (https://codejam.withgoogle.com/2018/challenges/) at least once before visiting other pages there. POC: https://codejam.withgoogle.com/2018/challenges/0000000000007766/scoreboard/for/%3Cimg%20src=x%20onerror=alert(document.domain)%3E CSP: Due to CSP, this XSS will fire only in browsers where it’s not supported (i.e. IE). …