www\.google\.com に存在する文字エンコード切り替えによるSelf-XSS - A602First published Sat Aug 23 23:57:12 2014 +0900 ; substantive revision Sat Feb 14 12:41:39 2015 +0900 Tags : Security XSS まとめ 密かに細工されたページやGoogleの検索結果画面で、文字化けを直すためにエンコーディングを切り替えるとログインしているGoogleアカウントから情報が漏れる脆弱性がある。 Googleのセキュリティチームは、ユーザーは手動でエンコーディングを切り替えるべきではないと考えているので、この脆弱性は修正されない。 概要 以下のページでエンコーディングをShift_JISに切り替えると www\.google\.co\..* 上でXSSが発動します。 PoC 1: Googleマップのiframe埋め込み http://www.tsg.ne.jp/n
