Совсем недавно было обнаружено набор дырявых сценариев в php скриптах ХуИз сервисов. Кроме глупых приколов, эти XSS хранят опасность для регистраторов.
Вот примеры бажных сервисов:
http://www.webnames.ru/scripts/whois.pl?domain_name=xnic.org (аккредитованный регистратор .RU/.SU)
http://pir.org/Search/WhoIsSearchResults.a...hoIsSearch=xnic (держатель зоны .ORG)
http://who.godaddy.com/whois.aspx?domain=xnic.org (крупнейший в мире регистратор международных зон)
http://www.networksolutions.com/whois/ (первый регистратор международных зон)
http://reports.internic.net/cgi/whois?whoi...org&type=domain
http://www.gandi.net/whois (крупнейший французский регистратор)
https://secure.netfirms.com/signup/us-en/si...inname=xnic.org
http://whois.pp.ru
Уязвимы не все регистраторы.
Профиксить багу можно так:
Источник: web-hack.ru[New$paN]
Вот примеры бажных сервисов:
http://www.webnames.ru/scripts/whois.pl?domain_name=xnic.org (аккредитованный регистратор .RU/.SU)
http://pir.org/Search/WhoIsSearchResults.a...hoIsSearch=xnic (держатель зоны .ORG)
http://who.godaddy.com/whois.aspx?domain=xnic.org (крупнейший в мире регистратор международных зон)
http://www.networksolutions.com/whois/ (первый регистратор международных зон)
http://reports.internic.net/cgi/whois?whoi...org&type=domain
http://www.gandi.net/whois (крупнейший французский регистратор)
https://secure.netfirms.com/signup/us-en/si...inname=xnic.org
http://whois.pp.ru
Уязвимы не все регистраторы.
Профиксить багу можно так:
Код:
echo nl2br(htmlspecialchars($whois));