Коментарі для запису: Нові уразливості на www.allo.ua http://websecurity.com.ua/4585/ Tue, 07 Apr 2026 01:02:51 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/4585/#comment-338080 Sat, 09 Oct 2010 20:38:53 +0000 http://websecurity.com.ua/4585/#comment-338080 Замечу, что если на сайте (или в веб приложении) есть XSS или другая уязвимость, которая работает только через POST, то это не есть проблема. И атака легко осуществляема ;-). И на протяжении многих лет я многократно приводил примеры html-форм для проведения атак через POST-запросы. Например, как в случае <a href="/4421/" rel="nofollow">WordPress</a>. <blockquote>Сорри, скушало код</blockquote> В комментариях тэги фильтруются, так что учитывай это. Для указания угловых скобок используй или html-entities, или bb-коды. Замечу, что если на сайте (или в веб приложении) есть XSS или другая уязвимость, которая работает только через POST, то это не есть проблема. И атака легко осуществляема ;-) . И на протяжении многих лет я многократно приводил примеры html-форм для проведения атак через POST-запросы. Например, как в случае WordPress.

Сорри, скушало код

В комментариях тэги фильтруются, так что учитывай это. Для указания угловых скобок используй или html-entities, или bb-коды.

]]> від: MustLive http://websecurity.com.ua/4585/#comment-338078 Sat, 09 Oct 2010 20:31:50 +0000 http://websecurity.com.ua/4585/#comment-338078 <blockquote>В строку поиска ввел код</blockquote> Паша, об этой XSS я писал в прошлой записи об <a href="/3827/" rel="nofollow">уязвимостях на www.allo.ua</a> (скоро я опубликую детали). Как и многих других дырах, что я нашёл 06.05.2009. В этой же записи я о других дырах написал, что я дополнительно нашёл на данном сайте, а дыр там хватает :-). <blockquote>Жалко что там пост запрос…</blockquote> Скрипт поиска работает с GET, так что данную XSS можно использовать и для GET-запроса (как ты увидешь, когда я опубликую детали). Просто смени POST на GET с использованием всех необходимых параметров и атака у тебя заработает.

В строку поиска ввел код

Паша, об этой XSS я писал в прошлой записи об уязвимостях на www.allo.ua (скоро я опубликую детали). Как и многих других дырах, что я нашёл 06.05.2009. В этой же записи я о других дырах написал, что я дополнительно нашёл на данном сайте, а дыр там хватает :-) .

Жалко что там пост запрос…

Скрипт поиска работает с GET, так что данную XSS можно использовать и для GET-запроса (как ты увидешь, когда я опубликую детали). Просто смени POST на GET с использованием всех необходимых параметров и атака у тебя заработает.

]]> від: Павел http://websecurity.com.ua/4585/#comment-337869 Fri, 08 Oct 2010 08:30:33 +0000 http://websecurity.com.ua/4585/#comment-337869 Сорри, скушало код -scr-script-alert(1)-/script-ipt- Сорри, скушало код

-scr-script-alert(1)-/script-ipt-

]]> від: Павел http://websecurity.com.ua/4585/#comment-337868 Fri, 08 Oct 2010 08:28:54 +0000 http://websecurity.com.ua/4585/#comment-337868 В строку поиска ввел код: alert(1)ipt> Все выполнилось =) Жалко что там пост запрос... В строку поиска ввел код:
alert(1)ipt>

Все выполнилось =)
Жалко что там пост запрос…

]]>