|
Здравствуйте 3APA3A!
Сообщаю вам о найденной мною Cross-Site Scripting уязвимости в Google Chrome.
При сохранении страницы со “специальным” URL, в коде страницы сохраняется XSS код. И происходит выполнение XSS кода при открытии данной страницы (причём её открытии в любом браузере, не только в Chrome).
XSS:
http://site/?--><script>alert("XSS")</script>
Данную уязвимость я назвал Post Persistent XSS (Save XSS), которая является подклассом Persistent XSS. Подобные уязвимости могут использоваться для доступа к локальной файловой системе.
Для скрытой атаки можно использовать iframe в коде страницы:
<iframe src='http://localhost/_/?--
><script>alert("XSS")</script>' height='0' width='0'></iframe>
Уязвима версия Google Chrome 0.2.149.30 и предыдущие версии. Google заявил, что они со временем исправят данную уязвимость.
Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/2505/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua
|
