Hostinger ATO via XSS and Open Redirect

Jul 1, 2025 One minute to read

A escalada de impacto de uma vulnerabilidade pode ser demonstrada pelo caso de Account Takeover na Hostinger. A exploração encadeou duas falhas distintas:

Um Reflected XSS em um subdomínio de baixo impacto e FORA do escopo: marketing.hostinger.com.
Uma Validação de Redirecionamento Imprópria no sistema de autenticação (auth.hostinger.com), que permitia redirecionar para o subdomínio vulnerável por ele estar em uma whitelist.

O ataque consistiu em criar uma URL para o sistema de autenticação que, após o login da vítima, a redirecionava para a página com o XSS. O próprio sistema de login anexava o auth_token da sessão do usuário à URL de redirecionamento.

Ao carregar a página, o payload do XSS era executado para exfiltrar o token:

O script envia a URL completa (window.location), que agora continha o token, para um servidor controlado pelo atacante. A posse deste token permitia o controle total da conta da vítima (ATO).

Dessa forma, um XSS de baixo risco foi transformado em uma vulnerabilidade crítica através de uma cadeia de exploração.

Link para o relatório: https://hackerone.com/reports/3081691 hostinger disclosed on HackerOne: 1 Click Account Takeover via…