Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.
Как сообщает в своем ЖЖ юзер alexbyk, WHOIS на сайтах крупнейших регистраторов России и Украины уязвимы (были уязвимы - Roem.ru). По ссылке приводятся примеры с регистраторами Имена (Украина), REG.ru (Россия) и WebNames (Россия) и показано, как можно проверить остальных, более мелких.
Сама уязвимость тривиальна - данные домена, в которых владелец может написать все что угодно, выводились без проверки, что позволяло осуществлять редирект, открывать новые окна в браузере и делать прочие "радости".
Добавить 5 комментариев
Отсюда вывод — к любым пользовательским данным надо относиться как к потенциально опасным. Даже если они введены где-то в другом месте.
Отсюда вывод, что все юзают чертовски одинаковый комплект скриптов whois
Отсюда вывод, что все получают чертовски одинаковые данные.
Юра, вообще это первое правило веб-разработчика. Не доверять вообще никаким внешним данным.
Угу. Я думаю что тут разработчики просто забыли о внешнем характере данных из WHOIS.