Už to začíná být celkem monotonní, ale stále jsou ještě mraky webů, které jsou zranitelné jak vůči XSS tam SQL injection. Na webu itrebon.cz jsem minulý týden omylem do vyhledávnání zadal apostrof a s úsměvem zjistil, že nejen vyhledávání lze injectovat jak JavaScriptem, HTML i SQL, ale přihlašovací dialog lze obejít opravdu notoricky známým vektorem ' OR 1=1#

v kombinaci s libovolným heslem.

Pořídil jsem tedy pár screenshotů a poslal email jak na itrebon.cz tak firmě, která web vyvíjela. Odpovědi jsem se ani po týdnu nedočkal, nicméně přihlašovací dialog se zdá být už alespoň zevrubně ošetřen. Naproti tomu vyhledávací políčko je stále pannensky neposkvrněno a to i na mnoha dalších webech realizovaných společností yconix (na což jsem také upozorňoval). Inu co dodat… vyčistit zuby a spát.