« Росія зайняла місце лідера в поширенні вірусів
Добірка експлоітів »

XSS уразливість в Whois

22:43 11.03.2008

Як повідомив RSnake в своєму записі XSS on Whois, сервіси Whois можуть бути вразливими до Cross-Site Scripting. Він навів лінку на пост, де розповідається про подібну уразливість у одного регістратора доменів. А також він разом з Thrill-ом перевірили і підтвердили можливість XSS атаки через домен провайдера Dotster.

Зі своєї сторони Zoiz також пише в своєму записі Whois XSS про те, що він вже раніше стикався з подібною уразливістю. Ще до появи даних постів, він виявив (і використав для втіхи :-) ) XSS уразливість на сайті свого домен провайдера (яку вже давно виправили).

Сам я знаходив XSS дірки на сайті свого домен провайдера (ще в 2006 році), але не шукав їх безпосередньо в whois полях. Так що дані дослідження підтверджують можливість XSS атак через Whois.


This entry was posted on 22:43 11.03.2008 and is filed under Новини сайту. You can follow any responses to this entry through the RSS 2.0 feed.

6 відповідей на “XSS уразливість в Whois”

  1. Zoiz каже:
    Понеділок, 12:54 17.03.2008

    Yeah MustLive, XSS is everywhere :P

  2. MustLive каже:
    Понеділок, 18:06 17.03.2008

    Yeah :-) .

    Besides Cross-Site Scripting there are Insufficient Anti-automation vulnerabilities which are also widespread in the Web, as I wrote in my MoBiC project.

  3. dima каже:
    Середа, 17:28 26.03.2008

    xss на данйи момент це дуже хороший спосіб підвищити тиц сторінки. Але потрібно памятати що це незаконно!

  4. MustLive каже:
    Субота, 23:52 29.03.2008

    dima

    В даному пості мова йшла про Cross-Site Scripting атаки - саме про XSS ін’єкції, а не про HTML ін’єкції (що також можливі при наявності XSS дірки). В даному випадку про XSS атаки через Whois сервіси.

    Окрім використання XSS уразливостей для проведення різноманітних XSS атак, їх також можна використовувати для black SEO. Тобто використовувати їх для HTML ін’єкцій з метою пошукової оптимізації. Давно вже запланував написати статтю на цю тему. Тому що XSS дірки мають широкий спектр використання.

    xss на данйи момент це дуже хороший спосіб підвищити тиц сторінки.

    Діма, параметр тИЦ виставляється не для окремої сторінки, а для сайта в цілому.

    За допомогою XSS можна підняти як тИЦ, так і PR. Спосіб хорошим є відносно, бо різні пошуковці по різному індексують подібного роду лінки. До того ж Google та Яндекс, по наявній інформації, намагаються боротися з подібними лінками, тим самим зменшуючи ефективніть подібних seo-методів.

    Але потрібно памятати що це незаконно!

    Незаконність визначається кримінальним кодексом та іншими законами країни проживання громадянина. І враховуючи, що XSS (ні XSS атаки, ні black SEO) в кримінальному кодексі та інших законах України не вказаний, то використання даних уразливостей є цілком законним (в рамках визначених законодавством, в даному випадку по КК - “відсутність шкоди”, чому цілком відповідає black SEO). Тому до подібної справи з точки зору закону немає жодних застережень.

    В даному випадку - це виключна проблема власників сайтів, що вони дірки на своїх сайтах не виправляють і за безпекою не слідкують. З іншої сторони, в контексті seo - це вже проблема пошуковців, що саме їх роботи індексують (їм потрібно уважніше індексувати лінки, тим самим вирішуючи питання black seo лінків).

  5. dima каже:
    Неділя, 10:14 30.03.2008

    дякую тобі за те що так все добре обяснив. А на рахунок підняття пр, при xss - гнав свій саталіт по базі уязвимих сайтів, дуже добре піднявся тиц, а пр залишився на нулі, може то була така база, а може ті сайти не попали під фільтр гугла, і тому пр 0.

    Буде дуже добре якщо напишеш статью про XSS: як саме їх находити на сайті, що потім потірбно зробити, шоб залишити там свій лінк на сайт… дуже буде цікаво почитати, і навчитися це робити, скласти свою базу сайтів, і неплатити великі гроші комусь за роботу…

  6. MustLive каже:
    П'ятниця, 23:52 11.04.2008

    Будь ласка, dima.

    А на рахунок підняття пр, при xss

    Тут потрібно мати досвід, щоб мати збільшення PR - потрібно використовувати піарісті сторінки. В плані тИЦ все простіше, бо враховується тИЦ усього сайта (і його тематика), а для PR враховується конкретна сторінка - тому й потрібно мати якісні, піарісті й діряві сторінки (як ось ця з PR8 - сторінка мрія). Тому й такі результати в тебе, бо тут важлива якість сторінок (від якої залежить і тИЦ і ще більше PR). Зазначу, що на заході blackseo напрямок доволі поширений, і там про Яндекс та його тИЦ знати не знають (і не бажають), і враховують саме PR (й піднімають даний показник).

    Буде дуже добре якщо напишеш статью про XSS

    Статтю напишу, як знайду час. Бо ще з 2006 року планую :-) . Тим часом можеш подивитися на опубліковані мною піарісті XSS уразливості (таких я опублікував на сайті чимало, з різним PR, зокрема з 4 і вище, що є найбільш цікавими). Про XSS в контексті безпеки я вже статтю написав - в журналі Хакер Спец. А в статті Використання Гугл хакінга я розповідав про те, як знаходити XSS дірки на сайтах.

    Про blackseo напрямок використання XSS я напишу детально, але безпосередньо навчальної інформації, про те як знаходити XSS саме для сео я писати не буду - в мене ж не школа по blackseo ;-) . І подібних навчальних посібників я роботи не планую, бо в мене проект про безпеку, тому й пишу я в першу чергу саме на тему безпеки (але з опублікованої інформації можна зрозуміти, як знаходити XSS дірки, а потім лише потрібно для seo вибирати попіарістиші). Всі базові речі цього напрямку я опишу, а кому потрібна детальна інформація, тому треба читати blackseo сайти.

Leave a Reply

You must be logged in to post a comment.