KANALD.Com.Tr Uyarildi!(Runtime Error in " /" Application)

Selamun Aleykum Arkadaslar. Online kanald izlemek icin Kanald.Com.Tr-yi ziyaret etdim ve dedimki 1-de XSS arayayim Sitede ne var ne yok diye. Ve Sitede

Kod:

"<script>alert(1);</script>"

Su kodu arama yerine yazarsak o zaman runtime error-la karsilasiriz. Bildiyiniz Uzere cok kolay 1 acik. Sitenin Adminine bu Konuda Bas vurucam.

Orjinal Boyutunda Açmak İçin ( 1024x608 ve %3$sKB ) Buraya Tıklayın

Sorunun kaynaklanma nedeni :

Kod:

<?php
$var2 = $_GET[’var1];
echo $var2
?>

Kapatilmasi :

Kod:

<?php
if(isset($_GET[’var1’])) // Kontrol if $_GET[’var1’] varmi?
{
echo htmlentities($_GET[’var1’] ENT_QUOTES); // Yansit ve encode kodlarla devam et
}
?>

Kendileri inject etmisler. Admine bu hakda mesaj-da gonderildi.
KanalD Iletisim :

Orjinal Boyutunda Açmak İçin ( 1023x926 ve %3$sKB ) Buraya Tıklayın

Uyari :

Orjinal Boyutunda Açmak İçin ( 1024x608 ve %3$sKB ) Buraya Tıklayın

Mesaj :

Kod:

Selamun Aleykum. Ben Avatar Fearless. Sitede oylesine XSS ararken Sitenizde Runtime Error-u ile karsilasdim. Bu acikla Site-ye zararli kodlar inject edile bilir. Site Distrubited Denial Of Service attacklari nedeniyle Coke bilir.
Resim :
http://s16.postimage.org/vo4znzvpg/Kanald_RUntime_error.jpg
Bu sade 1 Arama :
http://www.kanald.com.tr/Arama/sadasdasd
Buda Acik :
http://www.kanald.com.tr/Arama/"<script>alert(1);</script>"
Benden bu kadar gerisi size kalmis :).
Anti-armenia.***
Pirates-Crew.***
Mexfi.***
RedHatz.***
MilliKuvvetler.Net

Basarilar. && Respect!! ^_^
Summer Begins Now!

Acigin Bulundugu yer :
http://www.kanald.com.tr/Arama/<script>alert(1);</script>

Avatar Fearless! ^_^