Форум Поисковые системы Прочие поисковики

Межсайтовый скриптинг в Nigma

SocFishing
На сайте с 26.09.2013
Offline
118
SocFishing
998

В этом сообщении не будет рассказываться о том, что такое XSS и с чем его едят. Все мы уже большие дяденьки (ну и тётеньки). Это сообщение о том, что внедрение произвольного кода бывает всегда и везде. Тому примером недавний межсайтовый скриптинг в Яндекс, Google и т.п. поисковые системы. Межсайтовый скриптинг остается самым простым и распространенным видом недоработки у сайтов.

На очереди Nigma (Поиск реализован с использованием Яндекс.XML и др.)

Пример: Easy XSS

Это не единственная недоработка, надеюсь скоро добавлю сюда более глобальную уязвимость Nigma, осталось время за небольшими тестами.

★Сервис идентифицирует (https://socfishing.com/?utm_source=searchengines) посетителей вашего сайта и предоставляет их профили ВКонтакте, Телефон, Почта! Цены копеечные, работаем 8 лет.
atranca
На сайте с 27.02.2011
Offline
126
atranca
#1

Уважаемый SocFishing, прежде чем выкладывать пассивку, вы должны были изучить- в каких браузерах она срабатывает, работает у всех или только у авторизированных пользователей и т д. У меня лично никакого алерта нет...

123
В Google Chrome появится Google разрешил одновременное использование Google тестирует панель управления
SocFishing
На сайте с 26.09.2013
Offline
118
SocFishing
#2
atranca:
Уважаемый SocFishing, прежде чем выкладывать пассивку, вы должны были изучить- в каких браузерах она срабатывает, работает у всех или только у авторизированных пользователей и т д. У меня лично никакого алерта нет...

Не требует авторизации. Сработала на дефаултовых Chrome 34, Opera 20, FF 28. IE 11 зарезал по безопасности.

Тему временно закрываю. Так как не рассчитал, поторопился и выложил в первом посте не ту ссылку. Ссылка выше затронула вторую уязвимость.

Как автоматически вставить ссылку SimpleVM: Услуги для владельцев Нужна помощь!

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий