## https://sploitus.com/exploit?id=9F34B5C7-4C8E-5E22-A4D2-D2F814E0FCE7
# invect-xss-report
Π’Π΅Ρ
Π½ΠΈΡΠ΅ΡΠΊΠΈΠΉ ΠΎΡΡΠ΅Ρ ΠΎ ΠΊΡΠΈΡΠΈΡΠ΅ΡΠΊΠΎΠΉ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Reflected XSS (CWE-79) Π½Π° ΠΏΠΎΠΈΡΠΊΠΎΠ²ΠΎΠΌ Π²Π΅Π±-ΡΠ΅ΡΡΡΡΠ΅ invect.com. ΠΠΏΠΈΡΠ°Π½ΠΈΠ΅ Π²Π΅ΠΊΡΠΎΡΠ° Π°ΡΠ°ΠΊΠΈ, Proof of Concept (PoC) ΠΈ Π°Π½Π°Π»ΠΈΠ· ΡΠΈΡΠΊΠΎΠ² Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ Π² ΠΊΠΎΠ½ΡΠ΅ΠΊΡΡΠ΅ ΡΠ΅ΡΡΡ
ΡΠ΅ΠΊΠ»Π°ΠΌΠ½ΡΡ
ΡΠΈΠ΄ΠΎΠ².
# ΠΡΡΠ΅Ρ ΠΎΠ± ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ: ΠΡΡΠ°ΠΆΠ΅Π½Π½ΡΠΉ XSS Π½Π° ΡΠ°ΠΉΡΠ΅ invect.com
**ΠΠ°ΡΠ° ΠΎΠ±Π½Π°ΡΡΠΆΠ΅Π½ΠΈΡ:** 8 ΠΈΡΠ½Ρ 2026 Π³.
**Π’ΠΈΠΏ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ:** CWE-79 (Cross-site Scripting / ΠΠ΅ΠΆΡΠ°ΠΉΡΠΎΠ²ΡΠΉ ΡΠΊΡΠΈΠΏΡΠΈΠ½Π³)
**ΠΠ»Π°ΡΡΠΈΡΠΈΠΊΠ°ΡΠΈΡ OWASP:** A03:2021 β Injection
**ΠΡΡΠ»Π΅Π΄ΠΎΠ²Π°ΡΠ΅Π»Ρ:** PsyStudio
**Π‘ΡΠ°ΡΡΡ:** ΠΠ΅Π·Π°Π²ΠΈΡΠΈΠΌΠΎΠ΅ ΠΈΡΡΠ»Π΅Π΄ΠΎΠ²Π°Π½ΠΈΠ΅ (Full Disclosure)
---
## 1. ΠΡΠ°ΡΠΊΠΎΠ΅ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅
Π Ρ
ΠΎΠ΄Π΅ Π½Π΅Π·Π°Π²ΠΈΡΠΈΠΌΠΎΠ³ΠΎ Π°Π½Π°Π»ΠΈΠ·Π° ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΎΠ² ΠΏΠΎΠΈΡΠΊΠ° Π½Π° Π΄ΠΎΠΌΠ΅Π½Π΅ `invect.com` Π±ΡΠ»Π° ΠΎΠ±Π½Π°ΡΡΠΆΠ΅Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡ Reflected Cross-Site Scripting (XSS). ΠΠ΅Π±-ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π½Π΅ΠΊΠΎΡΡΠ΅ΠΊΡΠ½ΠΎ ΡΠΈΠ»ΡΡΡΡΠ΅Ρ Π²Ρ
ΠΎΠ΄ΡΡΠΈΠ΅ Π΄Π°Π½Π½ΡΠ΅ Π² HTTP GET-Π·Π°ΠΏΡΠΎΡΠ΅, ΡΡΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ Π²ΡΠΏΠΎΠ»Π½ΡΡΡ ΡΡΠΎΡΠΎΠ½Π½ΠΈΠΉ JavaScript-ΠΊΠΎΠ΄ Π² Π±ΡΠ°ΡΠ·Π΅ΡΠ΅ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ.
## 2. ΠΠ±ΡΠ΅ΠΊΡ ΠΈΡΡΠ»Π΅Π΄ΠΎΠ²Π°Π½ΠΈΡ
* **Π£ΡΠ·Π²ΠΈΠΌΡΠΉ URL:** `https://invect.com`
* **ΠΠ°ΡΠ°ΠΌΠ΅ΡΡ:** `q` (ΡΡΡΠΎΠΊΠ° ΠΏΠΎΠΈΡΠΊΠΎΠ²ΠΎΠ³ΠΎ Π·Π°ΠΏΡΠΎΡΠ°)
* **Π Π΅ΠΊΠ»Π°ΠΌΠ½ΡΠΉ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡ:** `s=7801218269581587`
## 3. Π’Π΅Ρ
Π½ΠΈΡΠ΅ΡΠΊΠΈΠΉ Π°Π½Π°Π»ΠΈΠ· ΠΈ Proof of Concept (PoC)
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡ ΡΡΡΠ΅ΡΡΠ²ΡΠ΅Ρ ΠΈΠ·-Π·Π° ΠΎΡΡΡΡΡΡΠ²ΠΈΡ ΠΊΠΎΠ΄ΠΈΡΠΎΠ²Π°Π½ΠΈΡ Π²ΡΠ²ΠΎΠ΄Π°. Π‘ΠΈΠΌΠ²ΠΎΠ»Ρ ` " '` Π½Π΅ ΠΏΡΠ΅ΠΎΠ±ΡΠ°Π·ΡΡΡΡΡ Π² Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΡΠ΅ HTML-ΡΡΡΠ½ΠΎΡΡΠΈ.
### ΠΠ΅ΠΊΡΠΎΡ Π°ΡΠ°ΠΊΠΈ (ΠΡΠΈΠΌΠ΅Ρ Π·Π°ΠΏΡΠΎΡΠ°):
```http
GET /_search_results?s=7801218269581587&q=%3Cscript%3Ealert(document.domain)%3C/script%3E HTTP/1.1
Host: invect.com
```
### ΠΠ΅Ρ
Π°Π½ΠΈΠ·ΠΌ ΡΠ°Π±ΠΎΡΡ:
1. ΠΡΠ°ΡΠ·Π΅Ρ ΠΎΡΠΏΡΠ°Π²Π»ΡΠ΅Ρ Π·Π°ΠΏΡΠΎΡ Ρ ΠΊΠΎΠ΄ΠΎΠΌ Π²Π½ΡΡΡΠΈ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠ° `q`.
2. Π‘Π΅ΡΠ²Π΅Ρ Π²ΠΎΠ·Π²ΡΠ°ΡΠ°Π΅Ρ ΡΡΠΎΡ ΠΊΠΎΠ΄ ΠΎΠ±ΡΠ°ΡΠ½ΠΎ Π² ΡΠ΅Π»Π΅ HTML-ΡΡΡΠ°Π½ΠΈΡΡ Π±Π΅Π· ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ.
3. ΠΡΠ°ΡΠ·Π΅Ρ ΠΈΡΠΏΠΎΠ»Π½ΡΠ΅Ρ ΡΠ΅Π³ ``, Π·Π°ΠΏΡΡΠΊΠ°Ρ ΡΡΠΎΡΠΎΠ½Π½ΠΈΠΉ ΡΡΠ΅Π½Π°ΡΠΈΠΉ.
## 4. ΠΠΎΠ·ΠΌΠΎΠΆΠ½ΡΠ΅ ΡΠΈΡΠΊΠΈ
* **ΠΡΠ°ΠΆΠ° ΡΠ΅ΡΡΠΈΠΉ:** ΠΠΎΡΡΡΠΏ ΠΊ ΠΊΡΠΊΠΈ (Cookie) ΠΈ Π»ΠΎΠΊΠ°Π»ΡΠ½ΠΎΠΌΡ Ρ
ΡΠ°Π½ΠΈΠ»ΠΈΡΡ Π±ΡΠ°ΡΠ·Π΅ΡΠ°.
* **Π€ΠΈΡΠΈΠ½Π³:** ΠΠΎΠ΄ΠΌΠ΅Π½Π° ΡΠΎΠ΄Π΅ΡΠΆΠΈΠΌΠΎΠ³ΠΎ ΡΡΡΠ°Π½ΠΈΡΡ ΠΈ ΡΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Π»ΠΎΠΆΠ½ΡΡ
ΡΠΎΡΠΌ Π²Π²ΠΎΠ΄Π° Π΄Π°Π½Π½ΡΡ
.
* **ΠΠ΅ΡΠ΅Π½Π°ΠΏΡΠ°Π²Π»Π΅Π½ΠΈΡ:** ΠΡΠΈΠ½ΡΠ΄ΠΈΡΠ΅Π»ΡΠ½ΡΠΉ ΡΠ΅Π΄ΠΈΡΠ΅ΠΊΡ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ Π½Π° ΠΎΠΏΠ°ΡΠ½ΡΠ΅ ΡΠ°ΠΉΡΡ.
## 5. Π Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°ΡΠΈΠΈ ΠΏΠΎ ΡΡΡΡΠ°Π½Π΅Π½ΠΈΡ
1. ΠΠ½Π΅Π΄ΡΠΈΡΡ HTML-ΠΊΠΎΠ΄ΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ (ΠΏΡΠ΅Π²ΡΠ°ΡΠ°ΡΡ `<` Π² `<`) Π΄Π»Ρ Π²ΡΠ΅Ρ
Π²ΡΠ²ΠΎΠ΄ΠΈΠΌΡΡ
Π΄Π°Π½Π½ΡΡ
ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ.
2. ΠΠ°ΡΡΡΠΎΠΈΡΡ ΠΏΠΎΠ»ΠΈΡΠΈΠΊΡ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ CSP Π΄Π»Ρ Π·Π°ΠΏΡΠ΅ΡΠ° ΠΈΠ½Π»Π°ΠΉΠ½ΠΎΠ²ΡΡ
ΡΠΊΡΠΈΠΏΡΠΎΠ²:
```http
Content-Security-Policy: default-src 'self'; script-src 'self';
```
---
*ΠΠΎΠ»Π½ΡΡ ΠΈΡΡΠΎΡΠΈΡ ΡΡΠΎΠ³ΠΎ ΡΠ°ΡΡΠ»Π΅Π΄ΠΎΠ²Π°Π½ΠΈΡ ΠΈ ΡΠ°Π·Π±ΠΎΡ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΡ Π°Π½ΡΠΈΠ²ΠΈΡΡΡΠΎΠ² ΡΠΈΡΠ°ΠΉΡΠ΅ Π² ΠΌΠΎΠ΅ΠΉ ΡΡΠ°ΡΡΠ΅ Π½Π° Medium:*
[Π§ΠΈΡΠ°ΡΡ ΡΡΠ°ΡΡΡ Π½Π° Medium]([https://medium.com](https://medium.com/@psystudio.in/how-i-found-an-xss-vulnerability-on-a-gray-zone-search-feed-invect-com-1eaf476991f5))