Mar 1, 2010
Găsit vulnerabilitate XSS. O declar nulă
Am găsit săptămâna trecută o vulnerabilitate de tip XSS în site-ul unei rețele de cinematografe.
Vulnerabilitatea îmi permite să fac mult rău dar am fost cetățean cuminte și cinstit. Am trimis un mail la adresa de contact pe care am găsit-o pe site și am explicat problema. Am oferit și clasicul exemplu <script>alert("XSS")</script>.
Șapte zile mai târziu și încă nu am primit un semn.
Ce fac acum?
ne spui despre ce site e vorba sa ne jucam si noi…
daca e multiplex, aia aveau admin/admin la backend intr-o vreme, deci…
Nu e multiplex deși denotă genul ăsta de stângăcii.
Am patit si eu sa dau mail si sa nu mi se raspunda sau, si mai rau, sa mi spuna ca nu ii intereseaza securitatea. Asta m-a dat pe spate, asa ca mi-am notat parola admin-ului si am si acum admin pe site-ul respectiv…
Acum stai cuminte. Tu si fapta ta buna, amandoi fericiti la o cafea tare. ;)
sau dai și la prieteni :))
Am anuntat vreo 20-25 de site-uri cu privire la faptul ca sint vulnerabile la sql injection,le aratam si dovezi ca le pot intra in DB.Am primit raspuns doar de la un singur site,printre site-urile sql vulnerabile sint si site-uri importante,unul guvernamental din Ro si 2 care se ocupa de shopping.Nu am primit nici un raspun,iar ele sint vulnerabile in continuare.Nu inteleg de unde atita nepasare.