Skip to content
Random Entry: Blog des Tor-Projektes
< Gefägniszelle von Paris Hilton | [torrc] -- Exitpolicies >

Google XSS't mich

Posted by Jens Kubieziel on

Gerade eben versuchte ich, die Sprachtools von Google zu nutzen, um ein Wort zu übersetzen. Statt einer Übersetzung präsentierte mir Google einen Fehler 501 und meinte, dass die Zugriffsmethode nicht implementiert sei. Besonders schön, war der Codeblock, den ich als Bericht an Google senden soll:


/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/
nUepl36veZ8n4xP_H1XesL8hZj1iv7UEEGD-weBX7JfnSgBZH
s4quC6BhjJDLN2rKSFzPmdHurQp3GOCGhTTODiDtJ30yguDG7
AoeQNrV8WfMR09dRsKLTeRpmXKIhAEt6bvCuVPYWnbMvoZEsD
hxH-aANUGt-AagF-uW82KD-kbIFysjUaT7pDpJXZ4DFGgzKyD
wU83LYZwIBTmJHR9jmU7doRcRZTzwSgKLaEFFlN5C1itJOkH2
4D-kZ4dFV5FUKnGqvZtJ2tJsKWELqQ-WEFQ498AYJB2BzLAIJ
QbJMr-AAtTvlofmEYRgV7EaJqLvf7Fis2Iz0pGEYFexGiaiy_
tdzthTBQYyHtFBkiZ5f0QqYBxLPTZ_-CTMXGDNssmxQY5jifO
VK-qzOzirml5Rul8bhuegvpzOa63qN9vvb6VCXIUQABOjshYQ
J43uJXl11-mW5nvJBy_A-k-fhQwqnFKDsS2Oq5a5oJcNlAHhT
AsHWlA7DCBurPRS_cF4yQmkUO3E5MKDv4VtG-11NhnmQ7-WJN
Wnyj8FYETNkm1pPQvskJYBNeMZ80NV2kvBDsS-yO91alu_wY9
hK6PTPOVPTAE5im3sOjnjzbhwEaoq7HfQWPt3SdtX6kxaf21x
cEvnh9imH0em-2Fk-2YxTZdnDQ8JXlknmU_ndJB-F4uQ2Xwxh
y9zZI1sBmcH7EZCf3wF6jEC4OBb7ydf--7uqvg4mAi9zmG9MO
lCgLPOLv_48wSXcTZnP6BkEk2SMg-b1c_WxB7RlsrOicYUart
O62WzoSGcKwoH3dKYdBJnCHQbNsyfS9PZWCGuoWMfJMwMZ34I
F79G0CcabEUIyf9snkJX-1-XH9RAdWCoR5eMOkWWg59l7xPtr
5Wst8OUzB_HauUw8isVSjq2v8VNfMM26KonbJM2JrLAW_ns7x
K5KermbdLC2EaxntFRwhl8G8=
+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+/+

Beim zweiten Blick fiel mir eine Meldung der Erweiterung NoScript auf. Denn da stand, dass NoScript einen XSS-Versuch von Google geblockt hat. Die Konsole schrieb genauer: [NoScript XSS] Ein verdächtiger Upload zu [http://translate.google.com/translate_t] von [http://www.google.de/language_tools?hl=de] wurde bereinigt und in eine GET-Anfrage (nur Download) umgewandelt.. Die Einstellungen von NoScript haben für Google eine Ausnahme in Form eines regulären Ausdrucks definiert: ^http://([a-z]+)\.google\.[a-z\.]+/(?:search|custom|\1)\?. Dieser würde auf die Seite http://translate.google.com/translate passen. Die URL hat jedoch noch einen Unterstrich und ein t mit. Also passt das nicht. Aus meiner Sicht ist es daher sinnvoll, noch den String |translate_t nach custom| einzufügen. Damit wird dann auch dieser Fall als Ausnahme definiert und ich muss keine komischen Codeblöcke an Google senden oder Angst vor einer XSS-Attacke von Google haben. ;-)

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

Malte on :

Hehe, ist der Fehler reproduzierbar?

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.
Form options
cronjob