Активная XSS Google

12 Окт
2011

Скриншот:
Скриншот XSS Google.com

Ссылка
Уязвимость присутствует на «Справочном форуме Google» — в RSS темы обсуждения вопроса. Работает в Google Chrome, Opera, в FireFox — не работает, в других браузерах не проверял.
Отправил информацию о XSS-уязвимости в техническую поддержку Google — реакции ноль.
Использование уязвимости

Переходим на страницу создания темы на форуме, вводим категорию и название вопроса.

Нажимаем «Продолжить», и заполняем текст вопроса, и отправляем вопрос:

После этого вас должно было переадресовывать на страницу обсуждения темы на форуме, в поле «Добавить ссылки» выбираем «URL» — и вписываем в поле:
http://google.ru"></a>]]>]]><script>[XSS]</script>

В «Заголовок» — любой текст.
Отвечаем на обсуждение, находим на странице «фид этого обсуждения» — переходим по ссылке, как видим JavaScript код исполняется.
P.S. Уязвимость работает.
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх