| |
|
|
| | НАшёл дырку на сайте zakon.kz, поэксперементируем?
на главной странице в поиске пропускает "<>" | |
| |
|
|
| |
|
|
| |
для: himic
(14.04.2006 в 13:20)
| | | Да действительно пропускает HTML теги! | |
| |
|
|
| |
|
|
| |
для: himic
(14.04.2006 в 13:20)
| | | Почему же на таком казалось бы серьезном сайте встречаются такие глупые ошибки ? | |
| |
|
|
| |
|
|
| |
для: himic
(14.04.2006 в 13:20)
| | | А можно поподробней для ламеров, как эту ошибку избежать?
Какую угрозу предстовляют (<) and (>)? | |
| |
|
|
| |
|
|
| |
для: Бамси
(14.04.2006 в 20:44)
| | | xss атаки так их по моему зовут. А угроза такова, что можено выполнить произволный код на javascript. | |
| |
|
|
| |
|
|
| |
для: AKiRA
(14.04.2006 в 20:46)
| | | ... в том числе украсть админские логин/пароль, причем довольно просто.
Может, написать им, пусть закроют дырку? Мы ж не взломщики... | |
| |
|
|
| |
|
|
| |
для: Киналь
(14.04.2006 в 23:21)
| | | каким образом украсть? | |
| |
|
|
| |
|
|
| |
для: isset
(14.04.2006 в 23:22)
| | | Вводим в поле поиска
<script> Скриптик на JS который передаст cookie вашему php скрипту , а тот в свою очередь пошлет их вам на мыло или же сохранит - как удобнее </script>
Жмем искать - получаем ссылку. Копируем ее. И жалуемся в письме админу на битую ссылку и показываем ему нашу ядовитую ссылочку. Как только админ клацнит на ссылочку мы получим его куки.
Но если админ хоть немного не дурак, то он клацать по всем подряд ссылкам не станет. Так что это дело везения. | |
| |
|
|
