Bugtraq: регистраторы подвержены XSS при отображении WHOIS-данных доменов

Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.


Как сообщает в своем ЖЖ юзер alexbyk, WHOIS на сайтах крупнейших регистраторов России и Украины уязвимы (были уязвимы - Roem.ru). По ссылке приводятся примеры с регистраторами Имена (Украина), REG.ru (Россия) и WebNames (Россия) и показано, как можно проверить остальных, более мелких.

Сама уязвимость тривиальна - данные домена, в которых владелец может написать все что угодно, выводились без проверки, что позволяло осуществлять редирект, открывать новые окна в браузере и делать прочие "радости".

Добавить 5 комментариев