Здравствуйте 3APA3A!
Сообщаю вам о новой Cross-Site Scripting уязвимости в Yandex.Server (Яндекс.Сервер).
Ранее я уже сообщал о других XSS в Yandex.Server (CVE-2007-3485) и в 2007 году о них сообщал Яндексу. Который должен был исправить уязвимости и не допускать новых. Но Яндекс с этим не справился и недавно, во время очередного пентеста, мною была обнаружена новая Cross-Site Scripting уязвимость в Yandex.Server - на этот раз DOM Based XSS.
XSS (WASC-08):
http://site/search/?text=%27);alert(document.cookie)//
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua