Эксперт обнаружил XSS-уязвимость в сервисе Blogger

Эксперт обнаружил XSS-уязвимость в сервисе Blogger

 Аргентинский эксперт по вопросам ИБ, известный под ником Antrax, утверждает, что ему удалось обнаружить XSS-уязвимость в сервисе Blogger, предлагаемом компанией Google интернет-пользователям, желающим бесплатно создать собственный блог. По словам Antrax, данная XSS-уязвимость может использоваться злоумышленниками против администраторов.

Исследователь утверждает, что взломщик может выполнить потенциально вредоносный скрипт с панели администратора - просто опубликовав составленный определённым образом пост.

 Ряд других экспертов утверждает, что даанная уязвимость фактически не является таковой, так как по условиям Vulnerability Reward Program, “пользователям разрешается внедрять самодельный JavaScript в собственные шаблоны блогов и в размещаемые в блоге посты.”

 В ответ на утверждения скептиков, Antrax заявил, что уязвимость “содержится именно в посте, а не в шаблоне”.

 В минувший понедельник исследователь опубликовал материалы эксперимента, призванные наглядно продемонстрировать правильность его теории. Он также заявил, что сообщил о выявленной уязвимости представителям Google, но компания пока никак не отреагировала. По словам Antrax, уязвимость всё ещё остаётся открытой.