XSS в LiveJournal

Уязвимость обнаружена в LiveJournal. Удаленный пользователь может выполнить XSS нападение.

Web приложение, на котором работает сайт LiveJournal, не проверяет данные, представленные пользователем в URL для фонового изображения. В результате удаленный пользователь может представить специально обработанное значение URL, чтобы выполнить произвольный код сценария в браузере пользователя, просматривающего страницу журнала. Уязвимость может использоваться для кражи опознавательной информации, хранящейся в куки пользователя и для организации других типов нападений.

Пример:

body { background – image : url ( ) ;
background : url ( javascript : alert ( ” XSS ! ” ) ) ; }