Una lecci贸n de grandeza


Hoy me lleve 2 sorpresas con gmail.

La primera fue ver que el fabuloso sistema de vista previa de attacments hace que puedas embeber una forma (formulario es incorrecto en mi opinion) dentro de un mensaje sin problemas ! chidisimo no ?

Que tal si se nos ocurre ademas de todo meterle un poco de javascript, sacar una alerta (o cualquier otra cosa que se nos ocurra), pues resulta que acueductamente tienen un sistema de filtros que embebe una funcion como esta :

onsubmit="return window.confirm('You are submitting information to an external page.\\nAre you sure?');"

directamente a la forma (<form … >). Y como es de esperarse, si tratas de sobreescribir esa funcion pues simplemente la elimina y usa la suya ! obviamente no funciona con links tampoco (onclick, onmouseover…).

JA! por ahi no es trivial meter XSS 馃檪 chale !, y ademas degrada elegantemente, la forma si se puede mandar !


No Comments, Comment or Ping

Reply to “Una lecci贸n de grandeza”