XSS в правительствином домене gov.ru
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
XSS в правительствином домене gov.ru - 2010-05-01 10:46:51.980000
|
|
|
Sрam
Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
|
Честно говоря и пишу Я в отдельный топ потому, что я слегка под впечатлением от найденной мной xxs-ки. Я не стал постить в соседней теме: "Ваши XSS на популярных сайтах."еще и, потому что хочу услышать мнение форумчан на эту тему, собсно меня на поиски в столь важном для Страны домене подтолкнул Паша, который в Теме про sql иньекты раскручивал что-то в gov домене. (Я не смог удержаться от соблазна найти что-то свое…). А че я хожу вокруг да около вот она родимая: http://www.ach.gov.ru/ru/search/?q=%22%3E%3Cscript%3Ealert%28%27by+Spam+from+%EA%F1%E0%EA%E5%EF%27%29%3C%2Fscript%3E&test3432242=0&match=&in=&time%5B%5D=created&interval%5B%5D=&periodbegin%5B%5D=%E4%E4+%2F+%EC%EC+%2F+%E3%E3%E3%E3&periodfinish%5B%5D=%E4%E4+%2F+%EC%EC+%2F+%E3%E3%E3%E3&time%5B%5D=created&interval%5B%5D=&periodbegin%5B%5D=%E4%E4+%2F+%EC%EC+%2F+%E3%E3%E3%E3&periodfinish%5B%5D=%E4%E4+%2F+%EC%EC+%2F+%E3%E3%E3%E3&onpage=5
XSS пассивная, её смысл в том что, если в строку поиска забить "><script>alert('By Spam from ксакеп')</script> и запустить поиск по ресурсу, то можно увидеть веселый алерт с месагой аля: By Spam from ксакеп Что характерно, "классика" <script>alert('olololo')</script> фильтруется на "Ура". Почему админы и кодеры допустили столь большую оплошность- отфильтровав "классику" и забыв про элементарный её обход, Мы с Вами не узнаем, но мне хочется узнать ваше мнение на этот счет… PS Я ни кода раньше не писал столь большие посты тем более о взломе, не судите строго… PPS С первым мая вас форумчане!!!!!!!!!!!
|
|
|
RE: XSS в правительствином домене gov.ru - 2010-05-01 11:09:05.583333
|
|
|
heretic1990
Сообщений: 109
Оценки: 0
Присоединился: 2010-04-23 14:59:34.120000
|
не вижу в этом ничего особенного, ну и что, что домен в правительственной зоне. над сайтом работают такие же люди как мы, которым свойственно ошибаться.
|
|
|
RE: XSS в правительствином домене gov.ru - 2010-05-01 17:05:51.656666
|
|
|
heretic1990
Сообщений: 109
Оценки: 0
Присоединился: 2010-04-23 14:59:34.120000
|
15 мин поиски и вот результат: http://www.minprom.gov.ru/search/extended?s=1&date_search="><sсriрt>alert(document.cookie)</sсriрt>
http://www.fasi.gov.ru/subscribe/?action=subscribe&email=%22%3E%3Csсriрt%3Ealert%28document.cookie%29%3C%2Fsсriрt%3E
|
|
|
RE: XSS в правительствином домене gov.ru - 2010-05-02 19:01:15.870000
|
|
|
Sрam
Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
|
Гмм я когда говорил "мнение форумчан", я имел в виду именно форучан,а не всяких… с 30 постами… и сомнительной репутацией(((( И уж тем более не никак не хотел показать себя кульхацкером, кем себя выставляет человек с ником на "ХЭ"… Одно дело когда находишь это на сайте в домене аля: "Зимбабве", и совсем другое когда это почти под боком…
|
|
|
RE: XSS в правительствином домене gov.ru - 2010-05-02 19:43:26.320000
|
|
|
Sрam
Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
|
С помощью xss? Шел?8|
|
|
|
RE: XSS в правительствином домене gov.ru - 2010-05-02 21:40:54.320000
|
|
|
heretic1990
Сообщений: 109
Оценки: 0
Присоединился: 2010-04-23 14:59:34.120000
|
Sрam, репутация на форуме это ничто, главное репутация самой личности в целом, как человека. И своими высказываниями ты показываешь своё безкультурие и не умение принимать критику. Я вот сегодня например нашел скулю на одном из сайтов с доменом *.gov.ru, но я же не побежал на форум и не стал хвалиться "какой я кулхацкер".
|
|
|
RE: XSS в правительствином домене gov.ru - 2010-05-02 22:27:55.320000
|
|
|
Sрam
Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
|
Я щас хвалюсь?8| ЗЫ Ты наверно просто моего первого поста не дочитал… я как раз об обратном говорю…
|
|
|
|
|