Po wejściu w poniższy link wyświetla się komunikat "xss" i przekierowuje na nową stronę "FRIENDSHIP IS MAGICK"
http://www.gog.com/en/forum/general/
Czy to nie śmierdzi hackiem?
Nie, mają słabe zabezpieczenie forum :D
Jakiś koleś zakłada wątek z odpowiednim tytułem i przenosi stronę w dowolne miejsce. Prościutki <script>window.location=""</script>
Ktoś się nie postarał i nie dodał paru BANALNYCH i PODSTAWOWYCH zabezpieczeń, jak htmlspecialchars itp :D
[edit][3]---masz tu screen rzeczywistego problemu-->
Tak chodzi o tytul wątku na forum tu: http://static.gog.com/upload/forum/2012/07/60ec468b119b118d2b1776eaf1fecfef103a7b9e.png jest prawdopodobny winowajca
Ktoś się nie postarał i nie dodał paru BANALNYCH i PODSTAWOWYCH zabezpieczeń, jak htmlspecialchars itp :D
Tutaj na golu też brak kilku takich BANALNYCH i PODSTAWOWYCH zabezpieczeń. Widocznie jednak nie są takie banalne, ponieważ przez ponad 2 miesiące nie został ten błąd zlikwidowany.
[4]
Biorąc pod uwagę ile błędów generują strony GOLa to naprawdę nie jest dobry przykład na właściwe pisanie kodu. ;)
Przechodzenie takiej walidacji ma bardzo niski priorytet, jeżeli chodzi o tworzenie stron internetowych - nie daje ona zupełnie niczego dla większości osób odwiedzających daną stronę. Dlatego nie stwierdzałbym, że nieprzechodzenie tej walidacji = zły kod.
