Уразливість на search.yahoo.com
20:14 30.05.200821.09.2007
Позавчора, 19.09.2007, я знайшов Cross-Site Scripting уразливість на http://search.yahoo.com - в пошуковій системі Yahoo. Про що найближчим часом сповіщу адміністрацію системи.
Раніше я вже писав під час MOSEB про уразливість в Image Search of Yahoo! Search.
Детальна інформація про уразливість з’явиться пізніше.
30.05.2008
XSS:
Дану уразливість, що працює при UTF-8 кодуванні сторінки (яке задане в Yahoo), вони вже виправили. Але дана уразливість також працює з Japanese (SHIFT_JIS) та Japanese (Auto-Select) кодуванням в Internet Explorer (але тільки, коли їх задати власноруч в браузері).
XSS:
- alert(document.cookie) (IE)
- цікавий (IE)
Дана уразливість так досі не виправлена (хоча про другу уразливість, при двох інших кодуваннях, я Yahoo повідомляв).