Čtěte knížky, zastavte spam… http://www.neoluxor.cz/katalog/hledani/?searchstring=…..

Do proměné EXPS vrazit string, který bude zaručeně nalezen a do další “vyztužené” EXPS už je možné vložit JS.

http://www.alza.cz/SearchAdvanced.asp?pg=1&CatId=0&EXPS=ogg&EXPS=%3Cscript%3Ealert(’dobry%20den’)%3C/script%3E

Už to začíná být celkem monotonní, ale stále jsou ještě mraky webů, které jsou zranitelné jak vůči XSS tam SQL injection. Na webu itrebon.cz jsem minulý týden omylem do vyhledávnání zadal apostrof a s úsměvem zjistil, že nejen vyhledávání lze injectovat jak JavaScriptem, HTML i SQL, ale přihlašovací dialog lze obejít opravdu notoricky známým vektorem ' OR 1=1#

v kombinaci s libovolným heslem.

Pořídil jsem tedy pár screenshotů a poslal email jak na itrebon.cz tak firmě, která web vyvíjela. Odpovědi jsem se ani po týdnu nedočkal, nicméně přihlašovací dialog se zdá být už alespoň zevrubně ošetřen. Naproti tomu vyhledávací políčko je stále pannensky neposkvrněno a to i na mnoha dalších webech realizovaných společností yconix (na což jsem také upozorňoval). Inu co dodat… vyčistit zuby a spát.

Málo kdo se na českém internetu snaží vecpat někomu “svoji kvalitní službu” tak jako webhosting Banán.cz v čele s Radovanem Kalužou. Tato bizarní postavička flam(e)ující, nadávající a spamující kde se dá, taky stojí mimo jiném za stránkou owebu.cz. Smysl stránky, grafické pojetí, UI a vůbec technickou stránku věci radši posuzovat nebudu, zato je zde jedna unikátní fíčura: injectovaný javascript je spuštěn hned devětkrát….

… string je totiž bez jakéhokoiliv ošetření nacpán do meta hlaviček. Stačí je jen šikovně prerušit. Nakonec i chybová hláška PHP leccos napoví (třeba, že se s uvozkovkama u banánu nikdo nemaže) a kromě XSS, by se zřejmě dalo pohrát i s SQL. Tak to je teda bumerang.

Za polechtání stojí taktéž našláplý eshop a samozřejmě nemůžu nezmínit Radovanův blogísek.

Dneska jsem se na blogu meta dočetl o možnosti injekce hledaní na Seznamu. Pěkné. To co mě ale vyvedlo z míry je fakt, že když jsem kdysi zkoušel klasiku ve stylu

vše se pěkně převedlo a stále ještě převádí na entity. Tudíž jsem tehdy usoudil, že se prostě speciální znaky převádí na enitity a nedá se už moc dělat. Jenže opak je pravdou. Myslím že vývojářům na seznamu opět trošku nesedl regularní výraz a nám klidně projde i něco ve stylu:

Ozkoušet se samozřejmě dají i jiné tagy například <marquee>, <font> atd… Nevěřící Tomáš může klikat zde.