Explorando XSS no lugar do meu nome.
Eu estava no Instagram vendo o vídeo de um perfil que fala sobre carros, esse por sua vez, ao final do vídeo, indicou um site bem grande e conhecido de venda/orçamentos de automóveis, então, decido dar uma olhada no site para ver alguns carros. No site tinha uma parte na qual você teria que fazer o seu cadastro para prosseguir.
Então vou para a parte de cadastro e faço todo processo, depois de salvar algumas informações eu percebi que havia uma parte que meu nome aparecia no site depois de fazer o cadastro.
Então, depois disso eu simplesmente penso em substituir meu nome por uma carga de XSS: <img/src/onerror=prompt(8)>
Depois disso eu vou em salvar
Após isso clico em SAIR para sair do meu perfil, e faço o login novamente com meu e-mail e senha.
E ENTÃO ACONTECEU, O SCRIPT FOI CARREGADO E DISPARADO:
Após isso, entrei em contato com os responsáveis para que fosse corrigido.
Obrigado por ler. Se você quiser me seguir no Instagram eu estou lá como @diego_o.santoss.