A ver el Xss se encuentra en el archivo SWF que usan para conectarse al chat de yahoo no esta en el dominio.com se encuentra en yimg.com como decir fbcdn.net en facebook, bueno en realidad si lo veo critico por que en mi caso se encuentra como un OnClick pero sin embargo puedo hacer un Onmouseover y la cosa cambia :) o fingir una descarga de un addon para usar el chat, etc, etc, etc.
El Bug originalmente fue encontrado por "AA" pero solo se podia en IE yo lo hice funcionar en FF y Chrome.
Video:
Saludos,
Dr.White
0 comentarios:
Publicar un comentario en la entrada