Хай, интересную штучку нашел.
На многих пагах стоит счетчик с расширенными
возможностями, т.е. говорит хозяину о браузерах, адресах и подобных
параметрах посещающих ресурс юзеров. Так вот, ни один из Apache, а
скорее всего и из других web-серверов, не проверяет приходящие в
HTTP-запросе данные.
Чаще всего в чистом виде они сохраняются на
сайтах счетчико-дателей типа [mail/rambler/spylog/...].ru. Также эти
данные часто в чистом, неформатируемом виде проходят через скрипты, не важно,
cgi-php или еще чего... Ну, а кто мешает послать подобное:
User-Agent: <img src="https://xakep.ru/wp-content/uploads/post/17627/....." alt="Made by bignest © 2003">
Когда-то я написал прогу, requestor, которая составляла любой желаемый
HTTP-запрос по моему выбору. А вот сейчас подумал, почему бы не
попробовать?? Получилось. А теперь хорошая мысль:
сделать вместо того же user-agent iframe на свою личную пагу, с баннером и счетчиком, и
посетить с помощью проги 10-20 серьезных сайтов, собирающих
расширенную статистику по юзерам. Потом можно найти кучку сайтов,
показывающих, допустим, 100 последних посещений сайта, добавить фреймы
и там... Статистика своего сайта, я думаю, немного подрастет...
Вообще это наверное не дыра и не баг, а просто... ммм... ошибка, о
которой создатели Apache знают. Но вырезание, допустим, html-тэгов из
параметров не решит проблемы - написать туда можно все, что душе
угодно, а точенее все, что влезет в строчку. Такие вот дела. Сейчас
пишу нормальную прогу, работающую через список прокси-серверов
(не везде добавляют уже посетивших), удаляющую печенье от этих же
серверов.... А потом в один прекрасный день человек 10 пройдутся с ее
помощью по кучке сайтов. Должно быть весело... 😉
В любом случае, думаю нужно было об этом заявить раньше, чем мы
подшутим... Т.е. себе присваиваю себе копирайт, каждому пользующемуся
будем выдавать 10-разовую лицензию по 100$ каждый раз 😉 А потом баг
профиксят...
Ладно, всего!
