Livejournal.com, один из самых популярных блог сервисов в Интернете, уязвим для XSS атаки.

Описанная уязвимость может быть поэксплуатирована с помощью анонимного комментария. Эксплуатация возможно благодаря отсутствию фильтрации ссылок типа URI DATA и особенности обработки анонимного комментария (все картинки в анонимном комментарии заменяются на ссылки к картинкам).

Подробности

JavaScript может быть внедрён в ссылку через определения src в <img src=> тэге как data:text/html.

Пример

<img src=data:text/html,<html>%0D%0A<body>%0D%0A <script>alert(document.cookie)%3B<%2Fscript>%0D% 0A <body>%0D%0A<html>%0D%0A>

Данная уязвимость была закрыта производителем.

Источник: http://www.xakep.ru/post/49190/default.asp