XSS Su Google Gadget!!!!

Descrizione: L'API di Google Gadget è un modo semplice per creare piccole applicazioni da eseguire su più siti come iGoogle, Google Desktop, Google Page Creator e migliaia di altri siti sparsi sul Web che utilizzano Google Gadget per la tua pagina web. I Google Gadget raggiungono decine di milioni di utenti ogni settimana; oltre a ciò, Google offre hosting gratuito, banda larga gratuita e un metodo semplice per inviare i tuoi gadget alla directory ufficiale, dove i tuoi gadget possono essere trovati da utenti di tutto il mondo. POC: Come da titolo IGoogle risulta vulnerabile all'xss, il problema e' causato da un non controllo del contenuto dei google gadget, infatti un attaker puo' creare un gadget scritto ad hoc per rubare informazioni sensibili. Di seguito viene inserito l'exploit dimostrativo con relativo screenshot. Exploit: E' possibile verificare l'esistenza del bug, aggiungendo il mio exploit alla propria pagina IGoogle. http://www.google.it/ig/directory?hl=it&root=/ig&dpos=top&url=corryl80.googlepages.com/exploit-gadget.xml Screenshot: Per maggiori informazioni sono a completa disposizione.