Уразливість на www.engadget.com
23:58 30.04.2009Учора, 29.04.2009, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.engadget.com. Яку я виявив під час досліджень URL Spoofing уразливості в GoogleBot, Yahoo! Slurp та різних браузерах. Про що найближчим часом сповіщу адміністрацію проекту.
XSS:
Атака відбувається через XSS в імені піддомена. Уразливість працює лише в Mozilla 1.7.x та попередніх версіях. Це приклад нового типу XSS уразливостей - доменного XSS (Domain reflected XSS).