Активная XSS Google
Скриншот:
Уязвимость присутствует на «Справочном форуме Google» — в RSS темы обсуждения вопроса. Работает в Google Chrome, Opera, в FireFox — не работает, в других браузерах не проверял.
Отправил информацию о XSS-уязвимости в техническую поддержку Google — реакции ноль.
Использование уязвимости
Переходим на страницу создания темы на форуме, вводим категорию и название вопроса.
Нажимаем «Продолжить», и заполняем текст вопроса, и отправляем вопрос:
После этого вас должно было переадресовывать на страницу обсуждения темы на форуме, в поле «Добавить ссылки» выбираем «URL» — и вписываем в поле:
http://google.ru"></a>]]>]]><script>[XSS]</script>
В «Заголовок» — любой текст.
Отвечаем на обсуждение, находим на странице «фид этого обсуждения» — переходим по ссылке, как видим JavaScript код исполняется.
P.S. Уязвимость работает.