Плюсуем с XSS

Плюсуем с XSS
Приветствую, %username%!

Не слышал о таком сервисе как Pluso? Если нет, вот пост на хабре .
Прикольные кнопки, которые можно настроить и воткнуть на любой сайт. К слову, из-за моей лени они используются и на моём бложике. Так вот.
После того, как подгружаются кнопки можно увидеть примерно следующий код

<a href="http://bo0om.ru/" title="Twitter" class="pluso-twitter"></a>


И как-то руки не доходили проверить, а что будет, если в url содержится символ двойной ковычки? Ну как что. Конечно xss!
К примеру, ссылка со страницей /»><img src=q onerror=alert(123)>.html заставит тег <a> закрыться и выполнить событие onerror у картинки. Но это как-то не кошерно, но тут до меня дошло что можно же использовать параметры!
Вот, например,
http://ringcloud.ru/?"><img src=q onerror=alert("zdarova")>

— заставит сайт ringcloud поздороваться


По данным самих же pluso — охват за 24 часа: 96 931 домен. То есть сейчас уязвимы почти 100,000 сайтов. Pluso на связь не выходят (несколько раз пытался), так что пусть это будет на их совести.
Из минусов, в современных браузеров <«»> будет в url-кодировке, поэтому реально такое юзать только в Internet Explorer. Ну да ладно
xss Взлом
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.