Detalji propusta:

Moram da spomenem da su svi propusti koje objavljujem ovde na stranici radjeni u slobodno vreme, tj. po navici kad posetim neki sajt, pa odvojim 10-15 minuta da vidim da li mogu da pronadjem neki zanimljiv propust.

XSS
Metoda: GET
PoC: https://www.kupindo.com/Prijava/aHR0cDovL3d3dy5hYnN0cmFjdC5ycw=="><script>alert(1)</script>
OPEN REDIRECT
Metoda: GET
PoC: https://www.kupindo.com/Prijava/aHR0cDovL3d3dy5hYnN0cmFjdC5ycw==
PoC: https://www.limundo.com/Prijava/aHR0cDovL3d3dy5hYnN0cmFjdC5ycw==
base64 ---> aHR0cDovL3d3dy5hYnN0cmFjdC5ycw==  ---> http://www.abstract.rs

Pretpostavljam da je isti ili slican kod u pitanju na oba sistema, ali npr. na limundo delu nije bilo XSS-a, tj. taj parametar se filtrirao, dok na kupindo delu se nije filtrirao, pa je samim tim bio ranjiv.

Ispravljanje propusta i kontakt:

Moram da napomenem da su brzo sredili propuste, takodje su se javili u roku od 48h da su primili email i da su prosledili informacije kolegama iz IT sluzbe. Zahvalili su se na tome sto sam poslao detalje o propustima, zatrazili adresu i poslali mi zanimljive stikere, sveske i sl… Pozitivno iskustvo :)