Уразливість на www.shram.kiev.ua
22:44 05.11.200816.04.2008
У жовтні, 01.10.2007, я знайшов Cross-Site Scripting уразливість на хакерському проекті http://www.shram.kiev.ua (на сайті є й інші уразливості). Про що найближчим часом сповіщу адміністрацію проекту.
На даному веб сайті є окремий розділ про хакерство і безпеку. В тому числі є й стаття про Cross-Site Scripting 
- як я часто згадую в новинах, сайти, що пишуть про XSS, дуже часто є вразливими до XSS, бо їх власники забувають перевіряти безпеку своїх сайтів.
Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
05.11.2008
XSS:
Дана уразливість досі не виправлена.
Четвер, 09:21 17.04.2008
Прошу убрать упоминание на вашем сайте.
Четвер, 12:39 01.05.2008
> сайти, що пишуть про XSS, дуже часто є вразливими до XSS, бо їх власники забувають перевіряти безпеку своїх сайтів.
Вони просто думають, що “репутація” сама їх захистить
Понеділок, 01:54 19.05.2008
Деякі явно так і думають
.
А деякі власники сайтів зовсім на цій темі не розуміються, лише для кількості матеріали публікують. При цьому за безпекою не слідкуючи. У випадку власника даного сайта саме така ситуація і йому варто перечитати матеріали, що він розмістив в себе на сайті.
Неділя, 23:43 26.10.2008
Admin
Як я вже писав в коментарях в себе на сайті, а також відповідав по емайлу людям, що зверталися до мене з подібними проханнями - я ніколи не прибираю опубліковані в мене на сайті матеріали. Тобто, якщо я написав, що якийсь сайт дірявий, то дана інформація залишиться в мене на сайті. Щоб і власник сайта, і його користувачі й відвідувачі знали правду про стан його безпеки. В цьому в мене жорстка позиція.
Тобі ж не варто з цього приводу переживати (як і власникам всіх сайтів, про уразливості на яких я згадую в своїх записах). Головне для тебе - це виправити уразливості і в подальшому слідкувати за безпекою свого проекту. Бо доки є дірки на сайті, вони створюють ризики як для адміна, так і для користувачів й відвідувачів сайта.
Понеділок, 09:31 27.10.2008
И какая же уязвимость на сайте который написан в чистом HTML без баз и php в блокноте руками методом ???
Можно узнать в каком разделе???
Субота, 23:56 14.03.2009
Тарас!
Я писав в своєму листі де знаходиться уразливість. І чим вона загрожує для твого сайта. Також в своєму пості я вже оприлюднив деталі, з яких видно де знаходиться уразливість (в downloads.php).
Навіть в сайтах на чистому html бувають уразливості. Які мені доводилось знаходити і якщо читати матеріали мого сайта, то про це можна дізнатися. А в твоєму випадку XSS я знайшов в php скрипті.
Що цілком відповідає на питання де в тебе дірка. І яким чином зроблений твій сайт. Тому тобі варто краще вивчити свій сайт, щоб знати які скрипти ти використовуєш на ньому (що не тільки html сторінки є в тебе на сайті, а й веб додатки). І які можуть мати уразливості, як я це вже продемонстрував, тому за їх безпекою потрібно слідкувати.
Неділя, 16:56 15.03.2009
а можно перепроверить сайт?
Вівторок, 21:30 17.03.2009
Звичайно, Тарас. Щойно перевірив як ти виправив уразливості в себе на сайті.
Дана XSS виправлена, а от нова XSS виправлена не повністю, тому фільтр легко обходиться і уразливість знову працює. Так що виправляй цю уразливість і слідкуй за безпекою всіх веб додатків в себе на сайті.
П'ятниця, 13:59 20.03.2009
ну как наконец сейчас уже лучше?
П'ятниця, 23:50 20.03.2009
Тарас, не дуже
.
Новий варіант XSS атаки ти виправив, але я легко створив ще один, тим самим обійшовши захисні фільтри. Деталі вишлю тобі на емайл.