ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Google Page Creator позволяет легко создавать странички, но пользователи существенно ограничены в плане редактирования HTML кода. существует возможность редактирования HTML-кода только верхнего колонтитула, что собственно мало чего даёт. Как говорит хелп гугла: "В данный момент не поддерживаются следующие теги (при публикации вашей страницы они будут удалены из кода вместе с их содержанием): APPLET, FRAMESET, HEAD, OBJECT, SCRIPT, STYLE, TITLE." Эти ограничения всё же можно обойти, путём внедрегия ява скрипта. Далее следует последовательность шагов для воспроизведения, подразумевается что у вас уже есть аккаунт в гугл:

1. Идём на http://pages.google.com/ и логинисмя.
2. В любом месте набирает текст, выделяем его и жмакаем кнопку "Link".
3. выбираем Web address и в поле для линка вписываем следующую строку: 4. Сохраняем, и публикуем, перерь переходим по адресу http://vash_login.googlepages.com/ и жмакаем на линк.

Подгрузившийся фрейм - этот онлайн переводчик, вредоносного кода сдесь нет. Таким образом можно использовать любые запрещённые теги. Единственный минус, это то что необходимо нажимать на линк.

З.Ы. Пример работающей XSSки можно увидеть тут

За подробностями можна сюда: http://shredder05.blogspot.com/2008/03/xss-google-page-creator.html