Je centrum.cz náchylné k XSS?

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: AvB
Datum: 9.1.2011
Hodnocení/Hlasovalo: 1/1

Za své dlouhé brouzdání po internetu jsme objevil konečně stránku náchylnou k vyzkoušení toho mála co z XSS umím. A tou stránkou je - světe, div se - Centrum.cz

Nejsem dobrý hacker. Vlastně to, co umím se ani nedá považovat za hacking, ale po dlouhém hledání a zkoušení jsem objevil stránku, kde by se dalo něco z hackingu vyzkoušet. XSS snad nemusím představovat, článků o něm je jen na SOOMu hned několik a předpokládám, že každý alespoň jeden četl. Brouzdal jsem se tedy po internetu a dostal se na stahuj.centrum.cz. To by samo o sobě nebylo nic neobvyklého či zajmavého, ale hned jakmile jsem viděl políčko "Hledej" hnulo se ve mě mé hackerské já a už jsem naťukávál tradiční testovací metodu:

<script>
alert("XSS")
</script>

A hele, co to tady vyskočilo za okýnko?! Jasně, javascriptová hláška, hlásící "XSS". Okamžitě jsme totéž vyzkoušel na hlavní stránce Centrum.cz a výsledek už nebyl tak uspokojivý. Zkusil jsem to tedy takto:

---><script>
alert("XSS")
</script><!---

A ono se to povedlo, okénko vyskočilo a stránka se zdeformovala díky <!--- na konci natolik, že z ní zbylo jen logo a odkazy :D

Pokud je tedy někdo v hackingu zběhlejší, mohl by to vyzkoušet. Určitě nebudu litovat když otevřu centrum a uvidím "Hacked by ***"

Tak tedy hodně štěstí a doufám, že jsem někomu pomohl.

AvB