XSS v e-mailu

Seznam BugTrack

XSS v e-mailu#
Dobrý den,
jedná se o možnost vložit HTML nebo JavaScript do textového pole při psaní e-mailu. Chyba se skrývá pod možností "kontrola překlepů: čeština resp. angličtina" a pod položkou "Doplnit háčky a čárky".

Pokud jako obsah emailové zprávy napíši např. slovo "pepa" a kliknu na "kontrola překlepů - angličtina", zobrazí se nabídka různých možností (pea, pep, papa..etc), nakonci je možnost "Editovat..." . A právě v tomto místě je mozné vložit kód.

Ukázka:
[link]

Takovýto email však není možné někomu odeslat (aby se zobrazilo tlačítko "Odeslat email", je třeba "kontrolu překlepů" resp. možnost "doplnit háčky a čárky", zrušit). Realná možnost pro zneužité této chyby je tak malá....

_Ano_nymous_




(odpovědět)
_ano_nymous_ | 158.194.29.*19.8.2011 16:41
re: XSS v e-mailu#
Našel jsem trochu jinou chybu, patrně bez bezpečnostních rizik, ale dost mě štve a nezjistil jsem, kde ji na seznamu reklamovat. Při psaní mailu neustále vyskakuje kurzor z textarey.
(odpovědět)
Saruman | 88.101.215.*11.1.2012 2:43

Zpět
 
 
 

 
BBCode