Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
securityvulnsSecurityvulnsSECURITYVULNS:DOC:20761
HistoryOct 28, 2008 - 12:00 a.m.

Cross-Site Scripting vulnerability in Google Chrome

2008-10-2800:00:00
vulners.com
9
JSON

Здравствуйте 3APA3A!

Сообщаю вам о найденной мною Cross-Site Scripting уязвимости в Google Chrome.

При сохранении страницы со “специальным” URL, в коде страницы сохраняется XSS код. И происходит выполнение XSS кода при открытии данной страницы (причём её открытии в любом браузере, не только в Chrome).

XSS:

http://site/?--><script>alert("XSS")</script>

Данную уязвимость я назвал Post Persistent XSS (Save XSS), которая является подклассом Persistent XSS. Подобные уязвимости могут использоваться для доступа к локальной файловой системе.
Для скрытой атаки можно использовать iframe в коде страницы:

<iframe src='http://localhost/_/?--&gt;&lt;script&gt;alert&#40;&quot;XSS&quot;&#41;&lt;/script&gt;&#39; height='0' width='0'></iframe>

Уязвима версия Google Chrome 0.2.149.30 и предыдущие версии. Google заявил, что они со временем исправят данную уязвимость.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/2505/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua

JSON