XSS-уязвимость на многих WHOIS`ах

Недавно на DomenForum.net был поднят вопрос о "забавном" использовании HTML-тегов в информации для хуиза у домена. Кроме приколов над юзерами, которые сделают в вебе хуиз для домена, данное обстоятельство таит потенциальную опасность, а именно XSS-уязвимости на множестве сайтов регистраторов и т.п. проектах. Я быстро пробежался по наиболее известным whois-сервисам в вебе, итоги ниже.

Примеры "плохих" (дырявых) хуизов:

http://www.webnames.ru/scripts/whois.pl?domain_name=xnic.org (аккредитованный регистратор .RU/.SU)

http://pir.org/Search/WhoIsSearchResults.aspx?txtWhoIsSearch=xnic (держатель зоны .ORG)

http://who.godaddy.com/whois.aspx?domain=xnic.org (крупнейший в мире регистратор международных зон)

http://www.networksolutions.com/whois/ (первый регистратор международных зон)

http://reports.internic.net/cgi/whois?whois_nic=xnic.org&type=domain

http://www.gandi.net/whois (крупнейший французский регистратор)

https://secure.netfirms.com/signup/us-en/signup-whois.php?domainname=xnic.org

http://whois.pp.ru

Список можно долго продолжать... Уязвим каждый третий регистратор!

Примеры "хороших" хуизов:

http://www.nic.ru/whois/?domain=xnic.org

http://centralops.net/co/DomainDossier.aspx

http://whois.domaintools.com

http://www.whois.ws/whois-org/ip-address/xnic.org/

http://www.coolwhois.com/d/xnic.org

Как видите, о данной уязвимости мало кто подозривает и состояние дел плачевное. Пофиксить багу на PHP (при помощи функции htmlspecialchars()) можно следующим образом:

echo nl2br(htmlspecialchars($whois));

Так же был проведен небольшой краш-тест международных регистраторов. Например, OnlineNIC.com без проблем принимает HTML-теги на изменение личной информации, а вот Directi (www.MyNick.Name) выдает ошибку, что сильно порадовало.

Источник: www.web-hack.ru