Уразливість на kinozalka.com
15:07 28.10.201010.02.2010
У червні, 29.06.2009, я знайшов Cross-Site Scripting уразливість на проекті http://kinozalka.com. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливість з’явиться пізніше.
28.10.2010
XSS:
На cторінках сайта http://kinozalka.com в блоці “У нас искали” через поле Referer. Це persistent XSS уразливість.
Referer: http://www.google.com/search?q=xss"><script>alert(document.cookie)</script>
Дана уразливість не була виправлена адміном. І як я сьогодні виявив, він закрив свій сайт і зараз даний домен використовується PPC-шниками для заробляння на кліках.
Четвер, 22:48 11.02.2010
Жень, можна таке питаннячко… ти їх цілими днями шукаеш чи це все тобі під руку випадково попадаеться?)
Субота, 23:55 13.02.2010
Roston
Будь ласка, задавай питання
.
Ні не цілими днями, це під руку попадається. Кожень день по Інтернету серфінгую, відвідую різні сайти, от і знахожу там дірки
. Ще в 2006 році, коли почав активно займатися пошуком уразливостей (ще до відкриття свого сайту і особливо як відкрив сайт), почав шукати дірки не тільки на своїх сайтах чи сайтах друзів та знайомих, як це було в 2005, а почав шукати дірки на відомих сайтах, таких як Яндекс та інших, які потрапляли мені на очі.
От з 2006 року в мене і з’явилася звичка, що на будь-якому сайті, який відвідаю, першим ділом бачу дірки, а вже потім зміст сайта (заради якого й зайшов на нього). На соціальний секюріті аудит для одного сайта я трачу в середньому хвилину - знаходжу за 60 секунд дірку чи декілька, записую собі цю інформацію (для подальшого опублікування) і йду далі читати інформацію на цьому сайті чи йду на інший сайт.
Для своїх досліджень, будь то дослідження похаканих сайтів, чи інфікованих сайтів, чи інші секюріті дослідження, чи статті про численні уразливості, як про XSS уразливості в 34 мільйонах флеш файлах, я вже витрачаю більше часу. Не цілими днями шукаю їх, але витрачаю годину чи кілька годин (в залежності від дослідження).