Хай, интересную штучку нашел.

На многих пагах стоит счетчик с расширенными
возможностями, т.е. говорит хозяину о браузерах, адресах и подобных
параметрах посещающих ресурс юзеров. Так вот, ни один из Apache, а
скорее всего и из других web-серверов, не проверяет приходящие в
HTTP-запросе данные.

Чаще всего в чистом виде они сохраняются на
сайтах счетчико-дателей типа [mail/rambler/spylog/…].ru. Также эти
данные часто в чистом, неформатируемом виде проходят через скрипты, не важно,
cgi-php или еще чего… Ну, а кто мешает послать подобное: 

User-Agent: &ltimg src=»https://xakep.ru/wp-content/uploads/post/17627/…..» alt=»Made by bignest &copy 2003″&gt

Когда-то я написал прогу, requestor, которая составляла любой желаемый
HTTP-запрос по моему выбору. А вот сейчас подумал, почему бы не
попробовать?? Получилось. А теперь хорошая мысль:
сделать вместо того же user-agent iframe на свою личную пагу, с баннером и счетчиком, и
посетить с помощью проги 10-20 серьезных сайтов, собирающих
расширенную статистику по юзерам. Потом можно найти кучку сайтов,
показывающих, допустим, 100 последних посещений сайта, добавить фреймы
и там… Статистика своего сайта, я думаю, немного подрастет… 

Вообще это наверное не дыра и не баг, а просто… ммм… ошибка, о
которой создатели Apache знают. Но вырезание, допустим, html-тэгов из
параметров не решит проблемы — написать туда можно все, что душе
угодно, а точенее все, что влезет в строчку. Такие вот дела. Сейчас
пишу нормальную прогу, работающую через список прокси-серверов
(не везде добавляют уже посетивших), удаляющую печенье от этих же
серверов…. А потом в один прекрасный день человек 10 пройдутся с ее
помощью по кучке сайтов. Должно быть весело… 😉 

В любом случае, думаю нужно было об этом заявить раньше, чем мы
подшутим… Т.е. себе присваиваю себе копирайт, каждому пользующемуся
будем выдавать 10-разовую лицензию по 100$ каждый раз 😉 А потом баг
профиксят… 

Ладно, всего!

Оставить мнение

Check Also

LUKS container vs Border Patrol Agent. Как уберечь свои данные, пересекая границу

Не секрет, что если ты собрался посетить такие страны как США или Великобританию то, прежд…