Ho scoperto in data martedi 04-03-08 alle ore 22:15 mentre stavo bloggando un articolo sulle falle xss scoperte da altri su striscia la Notizia, quando scopro che anche BlogSpot ne soffre . Inserendo infatti la classica query (script)alert(0)(/script)
ovviamente usate al posto delle parentesi tonde queste <> fra i tag script /script
nell editor testuale e pubblicando il post eccola che appare!!!
Ora usando un cookie grabber cioè un javascript uppato su un account altervista possiamo sottrare i cookie di tutti i nostri lettori che nel 90% dei casi sono Blogger e gestiscono un loro blog. Ma volendo si possono sottrarre informazioni sensibili relative a account adsense, codici paypal e chi piu ne ha ...
martedì 4 marzo 2008
BlogSpot soffre di XSS
Iscriviti a:
Commenti sul post (Atom)
1 commento:
(script)alert(0)(/script)
Posta un commento