Привет, Охотники! Это Йасир Арафат и эта история о сохраненном XSS на Freelancer.com. Мне всегда нравится видеть действующее всплывающее окно XSS на целевом сайте. Покопавшись несколько часов на фрилансере, я обнаружил конечную точку, где работник может оставить свой комментарий о размещении ставок клиента. Я поместил туда обычную полезную нагрузку «› ‹img src = x onerror = prompt (1337)› , и она была удалена. Затем я просматриваю исходный код и пытаюсь понять, что там происходит...