Šorīt pamodos un kā ierasts ielūkojos iekš Securifocus.org Lasot jaunākos RSS pamanīju ka kāds beidzot izcēlis gaismā CSS eksploitu ko pirms kāda laika smalkjūtīgi atļāvos noklusēt un nopublicēt tikai kā privātu rakstu.
Kā es pie tā tiku? - Kautkad augustā sanāca padarboties ar Alstrasoft e-friends, to nedaudz pietjūnēt, parevidēt kodu... man jau tad nepatika viss nesakārtotais kods, vienaldzīgā attieksme pret html tagiem/sintaksi utt.. tā nu arī pamanīju tik acīmredzamu lietu - ka tiek no adresu ievadlauka padots mainīgais, kas ļauj inklūdet ko vien vēlas... tik lēts triks.. bet tas nav nekāds brīnums sakarā ar to, ka viss tas kods ir šausmīgi nolaidīgi programmēts. Sākotnēji es tikai zināju ražotāju un izmēģināju exploitu uz alstrasoft.com demo projekta. Tas izrādījās veiksmīgs.. ;) Varēju uzraut serveri, bet tas būtu stulbs veids kā sevi parādīt.. tad neviļus pamanīju visu to saitu sarakstu, kas to lieto.. domāju tajā mirklī daudzi būtu nelaimīgi/dusmīgi.. ak un tur bija arī tavidraugi.lv .. :D defeisot tavidraugi.lv būtu ļauni, tādēļ noklusēju un atstāju sev pierakstus, kurus nu jau tagad varat paskatīties arī Jūs.
Securityfocus.org informācija par eksploitu: http://www.securityfocus.com/bid/14932/info
Savlaik privātais raksts: http://iists.it/index.php?i=1&j_t=1&lj_id=127
p.s. varat draugiem.lv nemēģināt, es jau izmēģināju.. :) viņi to lietu būvēja uz vecākas versijas un ļoti daudz ko ir izmainījuši.