Comments 8
> но до сих пор ни ответа, ни привета
Сразу вспоминаеться много историй о том, что пишут администраторам об ошибках, а они и глазом не моргнут, пока не случиться что-то печальное
Сразу вспоминаеться много историй о том, что пишут администраторам об ошибках, а они и глазом не моргнут, пока не случиться что-то печальное
0
от общедоступного AXFR много кто страдает на самом деле, и этот мало кому известный XName.org далеко не самая лакомая цель…
+4
xname.org имеет и другую неприятную особенность: авторизационный ключ передаётся GET-параметром, но при Logout`е он не удаляется в базе и сессия не завершается — просто идёт переход на главную страницу. Таким образом если в истории посещений браузера остались адреса внутренних страниц, то можно авторизоваться без пароля.
+3
трансфер зоны не является уязвимостью, отставить панику
а то, что оно работает в независимости от настроек зоны — просто баг
а то, что оно работает в независимости от настроек зоны — просто баг
+1
Очень может быть, что xname.org совершенно правильно полагает, что в зоне ничего секретного быть не может, а если есть — это дело хозяина зоны заботиться о её безопасности. Трансфер зоны, возможно, разрешён для упрощения работы службы поддержки.
+3
Sign up to leave a comment.
Уязвимость xname.org