XSS уразливість в Google

20:21 27.11.2007

Учора була вивлена Cross-Site Scripting уразливість в Google. Котра працює в Internet Explorer версії до IE6 включно. Її виявив beford, котрий раніше вже знаходив XSS уразливість в Google Polls.

Дірка знайдена в сервісі iGoogle, в модулі для додавання гаджетів на свою персональну iGoogle сторінку. Вразливим виявився параметер screenshot в xml файлі гаджетів. Молодець, beford, доволі цікава уразливість ;-) .

XSS:

http://google.com/ig/adde?moduleurl=http://beford.org/stuff/ig.xml

Дана уразливість вже виправлена Гуглем, котрий за одну добу відреагував. Я зустрічав і більш швидку реакцію в своїй практиці, але тим не менш відреагували швидко.


Leave a Reply

You must be logged in to post a comment.