Коментарі для запису: Уразливість на www.siteedit.ru http://websecurity.com.ua/1297/ Sun, 19 Apr 2026 10:07:56 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/1297/#comment-108671 Wed, 06 Feb 2008 23:39:54 +0000 http://websecurity.com.ua/1297/#comment-108671 <blockquote>К сожалению в комментариях нет возможности вставлять урл не в чистом виде тесктом</blockquote> Саша, вполне можно вставлять ссылки текстом ;-) (что я уже подправил в твоём сообщении). Для того, чтобы они не "побились", нужно заменять все специальные символы на их UTF-8 представление. В данном случае нужно было указать UTF-8 коды для символов открывающей и закрывающей скобки. И в этом случае ссылки не разбиваются, при этом оставаясь рабочими для браузеров. P.S. В январе я пересмотрел опубликованные тобою последние несколько дыр на сайтах и нашёл новые дыры на этих сайтах :-). О чём я планирую ещё написать.

К сожалению в комментариях нет возможности вставлять урл не в чистом виде тесктом

Саша, вполне можно вставлять ссылки текстом ;-) (что я уже подправил в твоём сообщении). Для того, чтобы они не “побились”, нужно заменять все специальные символы на их UTF-8 представление. В данном случае нужно было указать UTF-8 коды для символов открывающей и закрывающей скобки. И в этом случае ссылки не разбиваются, при этом оставаясь рабочими для браузеров.

P.S.

В январе я пересмотрел опубликованные тобою последние несколько дыр на сайтах и нашёл новые дыры на этих сайтах :-) . О чём я планирую ещё написать.

]]> від: MustLive http://websecurity.com.ua/1297/#comment-108627 Wed, 06 Feb 2008 21:49:25 +0000 http://websecurity.com.ua/1297/#comment-108627 Да, Саша, смысл понятен ;). То что на сайте этих ребят (которые к тому же занимаются проведением аудита безопасности) есть ещё и другие уязвимости, я не сомневался, и это подразумевалось. Тратить время на поиск других дыр я не стал, ограничившись одной - во время социального секюрити аудита я обычно ограничиваюсь одной или несколькими дырами (этого вполне достаточно чтобы показать ситуацию с безопасностью на сайте). Да, Саша, смысл понятен ;) .

То что на сайте этих ребят (которые к тому же занимаются проведением аудита безопасности) есть ещё и другие уязвимости, я не сомневался, и это подразумевалось. Тратить время на поиск других дыр я не стал, ограничившись одной - во время социального секюрити аудита я обычно ограничиваюсь одной или несколькими дырами (этого вполне достаточно чтобы показать ситуацию с безопасностью на сайте).

]]> від: a.komlev http://websecurity.com.ua/1297/#comment-108320 Wed, 06 Feb 2008 14:48:00 +0000 http://websecurity.com.ua/1297/#comment-108320 К сожалению в комментариях нет возможности вставлять урл не в чистом виде тесктом, а в результате они вот так вот побились... Но думаю смысл понятен :) К сожалению в комментариях нет возможности вставлять урл не в чистом виде тесктом, а в результате они вот так вот побились… Но думаю смысл понятен :)

]]> від: a.komlev http://websecurity.com.ua/1297/#comment-108318 Wed, 06 Feb 2008 14:43:38 +0000 http://websecurity.com.ua/1297/#comment-108318 <a href="http://www.siteedit.ru/registration?first_name=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&last_name=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&email=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E" rel="nofollow">http://www.siteedit.ru/registration</a> <a href="http://www.siteedit.ru/thanks?formobj_email=%3Cscript%3Ealert(document.cookie)%3C/script%3E" rel="nofollow">http://www.siteedit.ru/thanks</a> Примечание: Работает и через POST в том числе. http://www.siteedit.ru/registration

http://www.siteedit.ru/thanks

Примечание: Работает и через POST в том числе.

]]>