Resumen:
Google Sites , Google Producer , Google Swiffy, iGoogle, son vulnerables a Cross-site Scripting persistente y reflejado, El equipo de Seguridad de Google decidio almacenar la información de estos sitios en su sandbox, lo cual significa que es imposible explotar esta vulnerabilidad, es decir, robar la sesión de un usuario de Gmail. Si bien he decidido hacer una divulgación de datos por el simple motivo de que no es critico para ellos, y me parecio algo interesante que Google sufra de múltiples XSS
Detalles:
Servicio: Google Sites
Vulnerabilidad: Cross-site Scripting (stored)
URL: https://sites.google.com/site/prueba2013xss/
Captura:(http://4.bp.blogspot.com/-2oy6vb1xRzE/Ugz11_Hi-xI/AAAAAAAAAFo/gIuTRUYsN20/s1600/Google-sites.png)
Servicio: Google Producer
Vulnerabilidad: Cross-site Scripting (stored)
URL: http://www.google.com/producer
Captura: (http://1.bp.blogspot.com/-CB0GnCcPavo/Ugz2-AEE9dI/AAAAAAAAAF4/kFIDJGadjVw/s1600/google+producer.png)
Servicio: iGoogle
Vulnerabilidad: Cross-site Scripting (stored)
URL: http://www.google.com/ig
Captura:(http://3.bp.blogspot.com/-u7RxC2X0KL4/Ugz31e_yfaI/AAAAAAAAAGI/30ZGAfyNyp4/s1600/igoogle.png)
Servicio: Google Swiffy
Vulnerabilidad: Cross-site Scripting (self-xss)
URL: https://www.google.com/doubleclick/studio/swiffy/
Captura:(http://1.bp.blogspot.com/-d9YRd52faZc/Ugz3bqwrRhI/AAAAAAAAAGA/KdSGe5t-dF8/s1600/google+swiffity.png)
Post original: http://fabiancuchietti.blogspot.com.ar/2013/08/multiples-xss-en-google-sandboxed.html
Saludos.