=/= Web spiders, title tag, XSS =/=
_ 2008-04-08 01:22:19 _

Postavio sam jedan test projekat, na ovoj lokaciji, koji bi trebao da nadje XSS
propuste u web spajderima tj bolje receno u njihovim administratorskim i
korisnickim delovima koji (ako) podrzavaju javascript tehnologiju.

Test se sastoji iz par html stranica sa posebno pripremljenim "title" tagom:

1. window.location = "someurl" 
2.  
3. window.location = 'someurl' 
4. /img src="javascript:window.location = 'someurl"/

Dva web spajdera su posetila lokaciju "someurl", a koliko je meni do sada bilo
poznato spajderi ne uzimaju linkove iz title taga. Prvi je accoonabot, sa
referom od .html stranice a drugi je MSN bez refera. Oba spajdera su dosla sa
prvog .html-a (1). 
Pitanje je sada da li ovde postoji neki propust, da li je engine za
pretrazivanje prvog spajdera ranjiv, ili administratorski deo drugog spajdera ?

Uveo sam sada jos jednu html stranicu, koja ce mozda malo vise razjasniti
slucaj ... voleo bih da cujem ako neko ima slicna iskustva sa web spajderima.