XSS уразливість в Whois
22:43 11.03.2008Як повідомив RSnake в своєму записі XSS on Whois, сервіси Whois можуть бути вразливими до Cross-Site Scripting. Він навів лінку на пост, де розповідається про подібну уразливість у одного регістратора доменів. А також він разом з Thrill-ом перевірили і підтвердили можливість XSS атаки через домен провайдера Dotster.
Зі своєї сторони Zoiz також пише в своєму записі Whois XSS про те, що він вже раніше стикався з подібною уразливістю. Ще до появи даних постів, він виявив (і використав для втіхи ) XSS уразливість на сайті свого домен провайдера (яку вже давно виправили).
Сам я знаходив XSS дірки на сайті свого домен провайдера (ще в 2006 році), але не шукав їх безпосередньо в whois полях. Так що дані дослідження підтверджують можливість XSS атак через Whois.
Понеділок, 12:54 17.03.2008
Yeah MustLive, XSS is everywhere
Понеділок, 18:06 17.03.2008
Yeah .
Besides Cross-Site Scripting there are Insufficient Anti-automation vulnerabilities which are also widespread in the Web, as I wrote in my MoBiC project.
Середа, 17:28 26.03.2008
xss на данйи момент це дуже хороший спосіб підвищити тиц сторінки. Але потрібно памятати що це незаконно!
Субота, 23:52 29.03.2008
dima
В даному пості мова йшла про Cross-Site Scripting атаки - саме про XSS ін’єкції, а не про HTML ін’єкції (що також можливі при наявності XSS дірки). В даному випадку про XSS атаки через Whois сервіси.
Окрім використання XSS уразливостей для проведення різноманітних XSS атак, їх також можна використовувати для black SEO. Тобто використовувати їх для HTML ін’єкцій з метою пошукової оптимізації. Давно вже запланував написати статтю на цю тему. Тому що XSS дірки мають широкий спектр використання.
Діма, параметр тИЦ виставляється не для окремої сторінки, а для сайта в цілому.
За допомогою XSS можна підняти як тИЦ, так і PR. Спосіб хорошим є відносно, бо різні пошуковці по різному індексують подібного роду лінки. До того ж Google та Яндекс, по наявній інформації, намагаються боротися з подібними лінками, тим самим зменшуючи ефективніть подібних seo-методів.
Незаконність визначається кримінальним кодексом та іншими законами країни проживання громадянина. І враховуючи, що XSS (ні XSS атаки, ні black SEO) в кримінальному кодексі та інших законах України не вказаний, то використання даних уразливостей є цілком законним (в рамках визначених законодавством, в даному випадку по КК - “відсутність шкоди”, чому цілком відповідає black SEO). Тому до подібної справи з точки зору закону немає жодних застережень.
В даному випадку - це виключна проблема власників сайтів, що вони дірки на своїх сайтах не виправляють і за безпекою не слідкують. З іншої сторони, в контексті seo - це вже проблема пошуковців, що саме їх роботи індексують (їм потрібно уважніше індексувати лінки, тим самим вирішуючи питання black seo лінків).
Неділя, 10:14 30.03.2008
дякую тобі за те що так все добре обяснив. А на рахунок підняття пр, при xss - гнав свій саталіт по базі уязвимих сайтів, дуже добре піднявся тиц, а пр залишився на нулі, може то була така база, а може ті сайти не попали під фільтр гугла, і тому пр 0.
Буде дуже добре якщо напишеш статью про XSS: як саме їх находити на сайті, що потім потірбно зробити, шоб залишити там свій лінк на сайт… дуже буде цікаво почитати, і навчитися це робити, скласти свою базу сайтів, і неплатити великі гроші комусь за роботу…
П'ятниця, 23:52 11.04.2008
Будь ласка, dima.
Тут потрібно мати досвід, щоб мати збільшення PR - потрібно використовувати піарісті сторінки. В плані тИЦ все простіше, бо враховується тИЦ усього сайта (і його тематика), а для PR враховується конкретна сторінка - тому й потрібно мати якісні, піарісті й діряві сторінки (як ось ця з PR8 - сторінка мрія). Тому й такі результати в тебе, бо тут важлива якість сторінок (від якої залежить і тИЦ і ще більше PR). Зазначу, що на заході blackseo напрямок доволі поширений, і там про Яндекс та його тИЦ знати не знають (і не бажають), і враховують саме PR (й піднімають даний показник).
Статтю напишу, як знайду час. Бо ще з 2006 року планую . Тим часом можеш подивитися на опубліковані мною піарісті XSS уразливості (таких я опублікував на сайті чимало, з різним PR, зокрема з 4 і вище, що є найбільш цікавими). Про XSS в контексті безпеки я вже статтю написав - в журналі Хакер Спец. А в статті Використання Гугл хакінга я розповідав про те, як знаходити XSS дірки на сайтах.
Про blackseo напрямок використання XSS я напишу детально, але безпосередньо навчальної інформації, про те як знаходити XSS саме для сео я писати не буду - в мене ж не школа по blackseo . І подібних навчальних посібників я роботи не планую, бо в мене проект про безпеку, тому й пишу я в першу чергу саме на тему безпеки (але з опублікованої інформації можна зрозуміти, як знаходити XSS дірки, а потім лише потрібно для seo вибирати попіарістиші). Всі базові речі цього напрямку я опишу, а кому потрібна детальна інформація, тому треба читати blackseo сайти.