rulu ruru

post Jižní pijonýři

February 29th, 2008

Filed under: sql injection, xss — starenka @ 12:00
Tags: ,

Už to začíná být celkem monotonní, ale stále jsou ještě mraky webů, které jsou zranitelné jak vůči XSS tam SQL injection. Na webu itrebon.cz jsem minulý týden omylem do vyhledávnání zadal apostrof a s úsměvem zjistil, že nejen vyhledávání lze injectovat jak JavaScriptem, HTML i SQL, ale přihlašovací dialog lze obejít opravdu notoricky známým vektorem ' OR 1=1#

v kombinaci s libovolným heslem.

Pořídil jsem tedy pár screenshotů a poslal email jak na itrebon.cz tak firmě, která web vyvíjela. Odpovědi jsem se ani po týdnu nedočkal, nicméně přihlašovací dialog se zdá být už alespoň zevrubně ošetřen. Naproti tomu vyhledávací políčko je stále pannensky neposkvrněno a to i na mnoha dalších webech realizovaných společností yconix (na což jsem také upozorňoval). Inu co dodat… vyčistit zuby a spát. :)

Popularity: 11% [?]

3 Comments

  1. Sorry ze to pisu zrovna tadyhle k tomu postu, no ale ja nejak vubec nevim, ze mas tenhle blog…takze pridan k “uzitecnym” ;)

    Jo a firma yconix by se nad sebou mela zamyslet :))

    Comment by mikra — March 2, 2008 @ 20:38

  2. ahoj. diky….

    hehe no, hrubka hned v nazvu, vid? :)

    Comment by starenka — March 5, 2008 @ 01:14

  3. neni zac :) a jo no…toho sem si ani nijak extremne nevsimla :))

    Comment by mikra — March 15, 2008 @ 18:02

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.
ruldrurd
© starenka 2oo7, cute alien monster by noizcut, original theme by Laurentiu Piron - customized by starenka | proudly powered by WordPress