ich habe eventuell eine Vulnerability entdeckt. Zumindest als admin (Auswirkungen auf normale User und Möglichkeiten als normaler User müssen noch getestet werden) kann man per XSS eigenen JavaScript Code ausführen, indem man bsw. folgendes bei einer Buchung in das "booked to" Feld eingibt:
<script>console.log(document.cookie)</script>
Wenn man als User dann den Tag auswählt bei welchem die Buchung durchgeführt wird wird das JS ausgeführt.
In die Konsole loggen ist natürlich nicht weiter schlimm, aber man kann ja im Hintergrund ein Skript aufrufen oder ein Fake Form öffnen welches die Eingabe von Username und PW erfordert. etc.
Wie seht ihr das?
The text was updated successfully, but these errors were encountered:
Hi zusammen,
ich habe eventuell eine Vulnerability entdeckt. Zumindest als admin (Auswirkungen auf normale User und Möglichkeiten als normaler User müssen noch getestet werden) kann man per XSS eigenen JavaScript Code ausführen, indem man bsw. folgendes bei einer Buchung in das "booked to" Feld eingibt:
<script>console.log(document.cookie)</script>Wenn man als User dann den Tag auswählt bei welchem die Buchung durchgeführt wird wird das JS ausgeführt.
In die Konsole loggen ist natürlich nicht weiter schlimm, aber man kann ja im Hintergrund ein Skript aufrufen oder ein Fake Form öffnen welches die Eingabe von Username und PW erfordert. etc.
Wie seht ihr das?
The text was updated successfully, but these errors were encountered: