Bugtraq: регистраторы подвержены XSS при отображении WHOIS-данных доменов

Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.


Как сообщает в своем ЖЖ юзер alexbyk, WHOIS на сайтах крупнейших регистраторов России и Украины уязвимы (были уязвимы — Roem.ru). По ссылке приводятся примеры с регистраторами Имена (Украина), REG.ru (Россия) и WebNames (Россия) и показано, как можно проверить остальных, более мелких.

Сама уязвимость тривиальна — данные домена, в которых владелец может написать все что угодно, выводились без проверки, что позволяло осуществлять редирект, открывать новые окна в браузере и делать прочие «радости».

Добавить 5 комментариев