В инфу о домене достаточно вписать следующее:
</pre><script>Любой JS-код</script> К примеру у домена catering-companies.com, написано:
</pre><script>alert('Fuck XSS! OK or Cancel?');
document.location='http://google.com'</script> Таким образом можно сделать редирект на любой нужный сайт или вообще выполнить произвольный JavaScript код в браузере пользователя.
Это получается возможным из-за отсутствия проверки сервисами выдаваемых хуизом данных. Хотя в PHP достаточно применить к получаемому контенту функцию htmlspecialchars и все проблемы разом пропадут.
Но пока эта тема работает, можно повыводить доры на трастовых доменах регистраторов в топы по виагре. Не всё же с одними профайлами работать :)
Примеры работы этого XSS посмотреть можно тут:
Webnames
Imena
Orignal From: Найдена XSS уязвимость WHOIS-сервисов
Комментариев нет:
Отправить комментарий