Hallo CP,

Ik heb zojuist een kleine ontdekking gedaan, het blijkt namelijk dat er een mogelijkheid is kwetsbare scripts uit te voeren op Google. Zeer zeker ben ik niet maar sinds deze XSS methode werkt, snap ik niet waarom Google hier niets tegen heeft gedaan.

http://www.google.com/ig/directory?url=milw0rm.nl%2Fgxss

Citaat

Cross-site scripting (XSS) is a type of computer security vulnerability typically found in Web applications. Due to breaches of browser security, XSS enables attackers to inject client-side script into Web pages viewed by other users. A cross-site scripting vulnerability may be used by attackers to bypass access controls such as the same origin policy

From Wikipedia, the free encyclopedia

Zou het al uberhaupt gemeld zijn bij Google?
Erge lekken kunnen al 20.000 dollar opleveren, maar deze lek valt als het goed is in 1 van de twee laatste van de XSS catogorie op: http://www.google.com/about/appsecurity/reward-program/ wat dus maar tussen de 100 en 500 dollar opleverd. Ik gebruik Google elke dag, wat ik van iedereen wel verwacht dus zie dit ook best graag opgelost te zijn.

Stel je voor dat er een silent java drive-by op zou staan, als je java dagelijks gebruikt en dan Google als startpagina hebt.. Niet dat dit mogelijk maar toch.