|
Xss на агаве.
На Agava/Holm.ru (известном по бесплатным хостингам hut.ru и h1..h15.ru) позапозавчера нашех xss.
При попытке открыть файл напрямую с бесплатного хостинга идет перенаправление на страницу http://err.agava.ru/fh/request.shtml.../your-file.dat с подтверждением хотите ли вы открыть файл. Все что идет параметром заностися в ссылку без нормальной фильтрации. Например, ставший классикой http://err.agava.ru/fh/request.shtml?http://"onClick="alert('xss')" http://err.agava.ru/fh/request.shtml?http://">Link</A>Тут все ламеры. Еще у них есть прикол http://s.agava.ru/cgi/g.cgi?p=181&u=agava.ru/adv/ Тогда еще отправил им сообщение об этом, но еще не исправили. Если бы кто нашел этому достойное применение... |
| Время: 12:36 |