Уязвимость xname.org

[FkSD]

> но до сих пор ни ответа, ни привета

Сразу вспоминаеться много историй о том, что пишут администраторам об ошибках, а они и глазом не моргнут, пока не случиться что-то печальное

[impass]

от общедоступного AXFR много кто страдает на самом деле, и этот мало кому известный XName.org далеко не самая лакомая цель…

[Porfel]

На счет малоизвестности XName это вы зря… насколько мне известно это один из крупнейших бесплатных DNS-хостингов. Ибо 175000 доменов — это очень не мало для такого сервиса.

[kid]

xname.org имеет и другую неприятную особенность: авторизационный ключ передаётся GET-параметром, но при Logout`е он не удаляется в базе и сессия не завершается — просто идёт переход на главную страницу. Таким образом если в истории посещений браузера остались адреса внутренних страниц, то можно авторизоваться без пароля.

[Anton_Shevtsov]

Какое-то дремучее средневековье… :(

[z123]

трансфер зоны не является уязвимостью, отставить панику

а то, что оно работает в независимости от настроек зоны — просто баг

[Pilat]

Очень может быть, что xname.org совершенно правильно полагает, что в зоне ничего секретного быть не может, а если есть — это дело хозяина зоны заботиться о её безопасности. Трансфер зоны, возможно, разрешён для упрощения работы службы поддержки.