XSS a Whois rendszerben

Egyik blogon talaltam ra, gondoltam megosztom a HUP-os kozosseggel:

eredeti itt: http://www.blackhatdomainer.com/whois-xss/

Az egyik fejleszto a kovetkezore lett figyelmes: a domain nevek bejegyzoinek adatait a whois rendszerrol le lehet kerdezni. Ehhez van parancssori interface (ird be bash-be: whois hup.hu), es rengeteg weboldalon is le lehet kerni.
A felfedezes lenyege az, hogy a contact info-ba tetszoleges szoveget be lehet irni (html formazast, de akar javascript kodot is), es sok webes interface ezt szures, vagy barmilyen valtoztatas nelkul megjeleniti.
peldaul erre a kodra: 


John <script>alert("Black Hat Domainer")</script>

a bongeszo megjeleniti a John nevet, es megjeleniti egy alertboxban a macskakormok kozti szoveget. XSS-nek (cross site scripting) azt hivjak, ha el tudjuk erni, hogy egy masik weboldalon lefusson a kodunk. XSS ugyesebb felhasznalasaval at lehet venni session-t, vagy (egyszerubb esetben) nem publikus adathoz lehet hozzajutni. Talan a legsulyosabb eset az, ha egy sebezheto domain regisztrator oldalan az egyik latogato korabban regisztralt domain nevet sikerul elkotni. Ehhez az kell, hogy valaki egy sebezheto oldalon lekerje a tamado domain-jenek adatait, a manipulalt contact infoval.
A legtobb webes whois interface sebezheto, de a hir megjelenese ota mar volt, aki javitotta a hibat.

( saxus | 2008. 01. 18., p – 21:53 )

Ezeket az adatokat nem a regisztrator tölti ki véletlen? Ez esetben nem gyanus nekik, ha valaki JS kódot ad meg a neve helyett?

mindenre van találó xkcd post...

nekem is picit erőltetettnek tűnik.
Az én jelenlétem is potenciális vulnerability, mert bárki megijedhet tőlem, kiejtheti a kezéből a kávéscsészét, és leforrázhatja onnan a szőrt, ahol nem is akart szőrteleníteni... 

int getRandomNumber() {
return 4;	//szabályos kockadobással választva.
	       //garantáltan véletlenszerű.
}	      //xkcd

Vannak webes regisztratorok, ahol nem nezi at a megadott adatokat senki. Ha van pl webes admin felulet, akkor kesobb is atirhatod a contact adatokat, ha megvaltozik, elkoltozol.
Az egesznek nem a veszelyessege az erdekes (nehezen kihasznalhato), hanem az, hogy egy teljesen mas rendszeren keresztul juttat be JS kodot az oldalba. Az csak plusz raadas, hogy egyszerre tobb oldalt is tamadhat.
---------------------
Take my advice; I don't use it anyway.
honlap készítés