Websecurity - Веб безпека

21.09.2007

Позавчора, 19.09.2007, я знайшов Cross-Site Scripting уразливість на http://search.yahoo.com - в пошуковій системі Yahoo. Про що найближчим часом сповіщу адміністрацію системи.

Раніше я вже писав під час MOSEB про уразливість в Image Search of Yahoo! Search.

Детальна інформація про уразливість з’явиться пізніше.

30.05.2008

XSS:

• alert(document.cookie) (IE)

Дану уразливість, що працює при UTF-8 кодуванні сторінки (яке задане в Yahoo), вони вже виправили. Але дана уразливість також працює з Japanese (SHIFT_JIS) та Japanese (Auto-Select) кодуванням в Internet Explorer (але тільки, коли їх задати власноруч в браузері).

XSS:

• alert(document.cookie) (IE)
• цікавий (IE)

Дана уразливість так досі не виправлена (хоча про другу уразливість, при двох інших кодуваннях, я Yahoo повідомляв).

This entry was posted on 20:14 30.05.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.