XSS aneb Švejnar ne na Hrad

Kategorie: IT/Security | Zobrazen: 111730x Datum: 5.2.2008

Non-persistent XSS na stránkách prezidentského kandidáta a nejen tam.

Jan Svejnar Na svém webu obvykle nezveřejňuji XSS zranitelnosti webů. Občas si to však neodpustím, zvláště když se jedná o zajímavé situace jako například v případě mého šachového úspěchu. Také o politice se toho na mém webu moc nedočtete, ale toto berte jako výjimku.

V neděli jsem se díval na politickou debadu, které se účastnily všechny vrchní české duté hlavy (čti předsedové parlamentních politických stran). Zelený předseda v jednom okamžiku odkázal diváky na web svejnarprezidentem.cz. Již si nepamatuji souvislosti, proč tak udělal, ale říkal jsem si, že se také podívám. Samozřejmě mi šlo o otázku zabepečení a jak to to dopadlo se můžete podívat zde:

www.svejnarprezidentem.cz (screenshot)

Stejná chyba se objevuje i na soukromém webu profesora Švejnara:

www.jansvejnar.cz (screenshot)

Zjistil jsem, že tato non-persistent XSS zranitelnost je přítomna na všech webech běžících na TOPINFO CMS, takže se stačí pouze zeptat Googlu na frázi "TOPINFO CMS".

Na závěr přidávám ještě jednu perličku určenou hlavně studentům FIT VUT:

www.feld.cvut.cz (screenshot)

Update: Chyba v redakčním systému TOPINFO již byla odstraněna, proto linky uvedené výše nefungují, proto vás odkáži pouze na screenshoty.

Stoyan's signature

Předcházející článek: Jazyk Brainfuck a Brainfuck Interpret v C

Následující článek: Recenze časopisu Linux+

Libí se vám tento článek? Zalinkujte ho: Linkuj tento článek
© Stoyan, 2006 - 2016