Skip to content
Zufälliger Eintrag: Nachlese zu den Datenspuren
< Gefägniszelle von Paris Hilton | [torrc] -- Exitpolicies >

Google XSS't mich

Geschrieben von Jens Kubieziel am

Gerade eben versuchte ich, die Sprachtools von Google zu nutzen, um ein Wort zu übersetzen. Statt einer Übersetzung präsentierte mir Google einen Fehler 501 und meinte, dass die Zugriffsmethode nicht implementiert sei. Besonders schön, war der Codeblock, den ich als Bericht an Google senden soll:


/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/
nUepl36veZ8n4xP_H1XesL8hZj1iv7UEEGD-weBX7JfnSgBZH
s4quC6BhjJDLN2rKSFzPmdHurQp3GOCGhTTODiDtJ30yguDG7
AoeQNrV8WfMR09dRsKLTeRpmXKIhAEt6bvCuVPYWnbMvoZEsD
hxH-aANUGt-AagF-uW82KD-kbIFysjUaT7pDpJXZ4DFGgzKyD
wU83LYZwIBTmJHR9jmU7doRcRZTzwSgKLaEFFlN5C1itJOkH2
4D-kZ4dFV5FUKnGqvZtJ2tJsKWELqQ-WEFQ498AYJB2BzLAIJ
QbJMr-AAtTvlofmEYRgV7EaJqLvf7Fis2Iz0pGEYFexGiaiy_
tdzthTBQYyHtFBkiZ5f0QqYBxLPTZ_-CTMXGDNssmxQY5jifO
VK-qzOzirml5Rul8bhuegvpzOa63qN9vvb6VCXIUQABOjshYQ
J43uJXl11-mW5nvJBy_A-k-fhQwqnFKDsS2Oq5a5oJcNlAHhT
AsHWlA7DCBurPRS_cF4yQmkUO3E5MKDv4VtG-11NhnmQ7-WJN
Wnyj8FYETNkm1pPQvskJYBNeMZ80NV2kvBDsS-yO91alu_wY9
hK6PTPOVPTAE5im3sOjnjzbhwEaoq7HfQWPt3SdtX6kxaf21x
cEvnh9imH0em-2Fk-2YxTZdnDQ8JXlknmU_ndJB-F4uQ2Xwxh
y9zZI1sBmcH7EZCf3wF6jEC4OBb7ydf--7uqvg4mAi9zmG9MO
lCgLPOLv_48wSXcTZnP6BkEk2SMg-b1c_WxB7RlsrOicYUart
O62WzoSGcKwoH3dKYdBJnCHQbNsyfS9PZWCGuoWMfJMwMZ34I
F79G0CcabEUIyf9snkJX-1-XH9RAdWCoR5eMOkWWg59l7xPtr
5Wst8OUzB_HauUw8isVSjq2v8VNfMM26KonbJM2JrLAW_ns7x
K5KermbdLC2EaxntFRwhl8G8=
+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+

Beim zweiten Blick fiel mir eine Meldung der Erweiterung NoScript auf. Denn da stand, dass NoScript einen XSS-Versuch von Google geblockt hat. Die Konsole schrieb genauer: [NoScript XSS] Ein verdächtiger Upload zu [http://translate.google.com/translate_t] von [http://www.google.de/language_tools?hl=de] wurde bereinigt und in eine GET-Anfrage (nur Download) umgewandelt.. Die Einstellungen von NoScript haben für Google eine Ausnahme in Form eines regulären Ausdrucks definiert: ^http://([a-z]+)\.google\.[a-z\.]+/(?:search|custom|\1)\?. Dieser würde auf die Seite http://translate.google.com/translate passen. Die URL hat jedoch noch einen Unterstrich und ein t mit. Also passt das nicht. Aus meiner Sicht ist es daher sinnvoll, noch den String |translate_t nach custom| einzufügen. Damit wird dann auch dieser Fall als Ausnahme definiert und ich muss keine komischen Codeblöcke an Google senden oder Angst vor einer XSS-Attacke von Google haben. ;-)

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Malte am :

Hehe, ist der Fehler reproduzierbar?

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden
Formular-Optionen
cronjob