Приветствую, %username%!
Не слышал о таком сервисе как Pluso? Если нет, вот пост на хабре.
Прикольные кнопки, которые можно настроить и воткнуть на любой сайт. К слову, из-за моей лени они используются и на моём бложике. Так вот.
После того, как подгружаются кнопки можно увидеть примерно следующий код
<a href="http://bo0om.ru/" title="Twitter" class="pluso-twitter"></a>
И как-то руки не доходили проверить, а что будет, если в url содержится символ двойной ковычки? Ну как что. Конечно xss!
К примеру, ссылка со страницей /»><img src=q onerror=alert(123)>.html заставит тег <a> закрыться и выполнить событие onerror у картинки. Но это как-то не кошерно, но тут до меня дошло что можно же использовать параметры!
Вот, например, http://ringcloud.ru/?"><img src=q onerror=alert("zdarova")> — заставит сайт ringcloud поздороваться 🙂
XSS при помощи Pluso
По данным самих же pluso — охват за 24 часа: 96 931 домен. То есть сейчас уязвимы почти 100,000 сайтов. Pluso на связь не выходят (несколько раз пытался), так что пусть это будет на их совести.
Из минусов, в современных браузеров <«»> будет в url-кодировке, поэтому реально такое юзать только в Internet Explorer. Ну да ладно 🙂