WebHostingTalk.ru  

Вернуться   WebHostingTalk.ru > Главные форумы > Домены

Ответ
 
Опции темы
  #1  
Старый 12.09.2006, 20:25
DomainMan DomainMan вне форума
Аспирант
 
Регистрация: 09.05.2005
Сообщений: 57
По умолчанию XSS-уязвимость на многих WHOIS`ах

XSS-уязвимость на многих WHOIS`ах

Недавно на DomenForum.net был поднят вопрос о "забавном" использовании HTML-тегов в информации для хуиза у домена. Кроме приколов над юзерами, которые сделают в вебе хуиз для домена, данное обстоятельство таит потенциальную опасность, а именно XSS-уязвимости на множестве сайтов регистраторов и т.п. проектах. Я быстро пробежался по наиболее известным whois-сервисам в вебе, итоги ниже.

Примеры "плохих" (дырявых) хуизов:

http://www.webnames.ru/scripts/whois..._name=xnic.org (аккредитованный регистратор .RU/.SU)
http://pir.org/Search/WhoIsSearchRes...oIsSearch=xnic (держатель зоны .ORG)
http://who.godaddy.com/whois.aspx?domain=xnic.org (крупнейший в мире регистратор международных зон)
http://www.networksolutions.com/whois/ (первый регистратор международных зон)
http://reports.internic.net/cgi/whoi...rg&type=domain
http://www.gandi.net/whois (крупнейший французский регистратор)
https://secure.netfirms.com/signup/u...nname=xnic.org
http://whois.pp.ru
Список можно долго продолжать... Уязвим каждый третий регистратор!

Примеры "хороших" хуизов:

http://www.nic.ru/whois/?domain=xnic.org
http://centralops.net/co/DomainDossier.aspx
http://whois.domaintools.com
http://www.whois.ws/whois-org/ip-address/xnic.org/
http://www.coolwhois.com/d/xnic.org

Как видите, о данной уязвимости мало кто подозривает и состояние дел плачевное. Пофиксить багу на PHP (при помощи функции htmlspecialchars()) можно следующим образом:

echo nl2br(htmlspecialchars($whois));

Последний раз редактировалось DomainMan, 15.09.2010 в 00:47
Ответить с цитированием
Ответ


Ваши права в разделе
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Продвинутый Whois-сервис NetBreeze.net Домены 2 17.03.2013 04:19
WHOIS для доменов. Neos Домены 15 16.07.2002 08:23
Обнаружена уязвимость в веб-сервере Apache acidrust Форум по Web-хостингу 11 28.06.2002 18:17
Обнаружена уязвимость в веб-сервере Apache acidrust Форум по Web-хостингу 2 22.06.2002 02:32
Whois Ripn а лежит!! ru77 Домены 3 28.03.2002 23:38


Часовой пояс GMT +3, время: 10:38.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot