Non-persistent XSS na stránkách prezidentského kandidáta a nejen tam.

Na svém webu obvykle nezveřejňuji XSS zranitelnosti webů. Občas si to však neodpustím, zvláště když se jedná o zajímavé situace jako například v případě mého šachového úspěchu. Také o politice se toho na mém webu moc nedočtete, ale toto berte jako výjimku.

V neděli jsem se díval na politickou debadu, které se účastnily všechny vrchní české duté hlavy (čti předsedové parlamentních politických stran). Zelený předseda v jednom okamžiku odkázal diváky na web svejnarprezidentem.cz. Již si nepamatuji souvislosti, proč tak udělal, ale říkal jsem si, že se také podívám. Samozřejmě mi šlo o otázku zabepečení a jak to to dopadlo se můžete podívat zde:

.

www.svejnarprezidentem.cz

www.jansvejnar.cz

Zjistil jsem, že tato non-persistent XSS zranitelnost je přítomna na všech webech běžících na TOPINFO CMS, takže se stačí pouze zeptat Googlu na frázi „TOPINFO CMS“.

Na závěr přidávám ještě jednu perličku určenou hlavně studentům FIT VUT:

www.feld.cvut.cz

Související příspěvky