[翻訳:関谷 麻美]2002年3月15日概要: lycos.com の翻訳および Infolease サービスにクロスサイト・スクリプティング(CSS)攻撃を仕掛けることは可能だ。詳細: lycos.com の翻訳および infoplease サービスは悪意ある入力のチェックを行わず、そして "<" or ">" のような文字をフィルターで除かない。 結果、クッキーを盗むことが可能になる。影響: 被害者にカスタム lycos.com URL を提供することによりクッキーを盗むことができる。攻略手段:攻撃するために行わなければならない唯一のことは、 textbox に HTML コードを入力するか、以下のリンクをクリックするだけである。translation.lycos.com:http://translation.lycos.com/?urltext=<script>alert(document.cookie)</script>&lp=en_de&partner=demo-Lycos2-eninfoplease.lycos.com:http://www.infoplease.lycos.com/search.php3?in=dictionary&query=</title><script>alert(document.cookie)</script>解決策: Lycos.com は、"<" and ">" のような危険な文字をチェックするためにフィルターを実装すべきだ。ベンダーの対応:ベンダーと連絡をとった。追加情報:http://www.IT-Checkpoint.net のメンバーである tSR がこの情報を提供した。[情報提供:SecuriTeam]http://www.securiteam.com/