################################################################################
           ###########       \ \   / /(_) _ __ | |_  _   _   __ _ | |       ###############
           ###########        \ \ / / | || '__|| __|| | | | / _` || |       ###############
           ###########         \ V /  | || |   | |_ | |_| || (_| || |       ###############
           ###########          \_/   |_||_|    \__| \__,_| \__,_||_|       ###############
           ###########                                                      ###############
           ########### _                       _                            ###############
           ###########| |    _   _  _ __ ___  (_) _ __    ___   _   _  ___  ###############
           ###########| |   | | | || '_ ` _ \ | || '_ \  / _ \ | | | |/ __| ###############
           ###########| |___| |_| || | | | | || || | | || (_) || |_| |\__ \ ###############
           ###########|_____|\__,_||_| |_| |_||_||_| |_| \___/  \__,_||___/ ###############
           ################################################################################
                    warv0x, krypt0n, Russian Fedration, sol@ris(s0lar), yoadee
     
 
 
P.S: Shoutout to Xpired.
 
   
Author: Russian Fedration
Date:   31.08.2011
Version: Works with latest eBuddy Web Messenger. (as of September 2011)
Vulnerability: Persistent XSS
In-depth detail: eBuddy Web Messenger suffers from an encoded-      
 
Persistent XSS vulnerability in the messaging function. (while sending    
 
A message with embedded code to another authorized user in eBuddy Web    
 
Messenger)
       
 
     
Exploit example:
 
Plain XSS (Not going to store, nor execute)
 
<script>alert('eBuddy Persistent XSS');</script>
 
 
 
Encoded
 
text=%3Cscript%3Ealert%28'eBuddy%20Persistent%20XSS'%29%3C/script%3E
 
Images:



[*] The attacker sends the encoded embedded code in an IM message. (Image 1)

Image 1;
http://i.minus.com/iLkBc67tzK5N.png
 
 
[*] The victim receives the message with the encoded embedded code and it executes on the victims browser.(Image 2)

Image 2;
http://img594.imageshack.us/img594/6485/ebuddy.png 



###########################################################################################################

Note:
 
We're not going to show examples of malicious use to avoid the usage of  
 
fame hungry kidiots. If you're creative, the universe is the limit. :)

###############################################################################################################