INPUT en el chat...

[Gcuencam]

GONZO acabo de descubrir esto:

Si pones en el chat... input type="hidden" value="" name="" (faltan las etiquetas que abren y cierran, ><) crea un input en el chat, discreto, pero imagino que si se toca con css o algo se podría trollear mucho...

Bueno ahí lo llevas.

Un saludo !

[esanchma]

Confirmo que el bug que menciona Falcom es replicable, y que sucede tanto en el chat como en el log de conversación. No se si puede secuestrarse un event handler (tipo onhover u onfocusin) para inyectar javscript, pero parece bastante posible.

[Gcuencam]

He encontrado mas etiquetas a parte del input, que afectan... hay una larga lista.

[Gcuencam]

El último hallazgo, un iframe...

[esanchma]

El conjunto de etiquetas que no se sanitizan, además de iframes, incluye la etiqueta script. Esto es grave de verdad.

[esanchma]

Como no hemos coincidido en la plaza, por aclarar. Se puede inyectar la etiqueta script. No se pueden usar comillas, ni simples ni dobles, pero para usar una url en el atributo src, tanto de una etiqueta iframe como de una etiqueta script, el navegador se traga la url sin comillas sin rechistar.

Cosas que funcionan:

<iframe src=http://www.marca.com height=600 width=800></iframe>

<script>alert(document.cookie)</script>

y la mas importante

<iframe src=http://www.youtube.com/v/dQw4w9WgXcQ?version=3&amp;hl=es_ES&autoplay=1 width=420 height=315></iframe>