Вижу такое впервые:

Проверьте домен NAHUI.RU в любом WHOIS сервисе

Забавная попытка выделиться:

<font color=red><h1>nahui!..))</h1></font>

Мало того что домен такой, так ещё и дескрипш забили тегами.
ps Во многих проверках действительно теги действуют.

Офигительно :)
Может поломалось что-нибудь :)

добавлено через 1 минуту
Красиво, на вебнэмс, например :)

Офигительно :)
Может поломалось что-нибудь :)

Ничего не поломалось, просто владелец развлекается :)

Красиво, на вебнэмс, например :)

А на руцентре видно все теги как есть :)

Ну, понятно, что ничего не поломалось.
Это скорее некий вызов.

Я тоже посмотрел и там, и там.
Сравнил :)

:)

http://whois.ruweb.net/?domain=namez&ext=ru&show_raw=1

:)

http://whois.ruweb.net/?domain=namez&ext=ru&show_raw=1


Красотищща :D

Сам гляжу не могу нарадоваться :)

Хм, а если туда вредоносный скрипт поместить ?

Минут через десят будет обновление ;)

Хм, а если туда вредоносный скрипт поместить ?

То можно поломать кого угодно!

Минут через десят будет обновление ;)



То можно поломать кого угодно!

Вот-вот...очередная дырка.

О, даже картинки получается вставлять :)

http://whois.ruweb.net/?domain=namez&ext=ru&show_raw=1

О, даже картинки получается вставлять :)

http://whois.ruweb.net/?domain=namez&ext=ru&show_raw=1


C ума сойти !
Можно попробывать редирект вставить :)

Это обычная XSS бага веб-хуизов.

Но идея забавна =))

Просто у кодеров руки кривые, например все ок у http://centralops.net/co/DomainDossier.aspx

Директи не позвонилал в xnic.org сделать теги, на ОнлайнНик прокатило =)

Domain тюнинг :)

я как баран сижу - пробую вникнуть - нефига не получается - в фаерфоксе не идет а в эксп. всё ок

nahui.ru домен.. там уже нет цветного текста.. автар изменил.

"Last updated on 2006.09.08 14:46:23 MSK/MSD"

зы. а идея с картинками это тема.. :)

_https://www.nic.ru/whois/?domain=namez.ru

descr: <div align="center"><img src="http://domenforum.net/banners/namez.PNG" alt="" title=""></div>

tt))

https://www.nic.ru/whois/?domain=namez.RU
https://www.nic.ru/whois/?domain=NAHUI.RU

Ни фига.

http://www.web-hack.ru/archive/news.php?go=1256

Согласен с Терабайтом. Обыкновенная XSS.
http://agava.ru/cgi/utils/whois.cgi?what=check_domain&domain=xnic&zone=ru
Вот ещё добавь, кстати.

Супермега интересно :)
А как вообще, разрешены HTML-теги в описании? Регистраторы не против?

Супермега интересно :)
А как вообще, разрешены HTML-теги в описании? Регистраторы не против?
Правильные ПРОТИВ
https://www.nic.ru/manager/settings.cgi
Описание домена может содержать только латинские буквы, цифры, знаки препинания и пробелы

Хе-хе. Кое-кто уже пытается поиметь траффа на халяву через эту дырочку:
https://www.nic.ru/whois/?domain=wwwauto.ru
Project wwwauto <script>open('http://yes.ru');</script>
nserver: ns2.poishi.com.
state: REGISTERED, DELEGATED
person: Philipp A Gross

(встроен код попапа)

Хе-хе. Кое-кто уже пытается поиметь траффа на халяву через эту дырочку...

Этот человек будет использовать любую дырочку чтобы поиметь выгоду

Хе-хе. Кое-кто уже пытается поиметь траффа на халяву через эту дырочку:
https://www.nic.ru/whois/?domain=wwwauto.ru
Project wwwauto <script>open('http://yes.ru');</script>
nserver: ns2.poishi.com.
state: REGISTERED, DELEGATED
person: Philipp A Gross

(встроен код попапа)

А Mozilla заблокировала дырочку, которая открывается через неправильные whois'ы =) Типа "FireFox заблокировал всплывающее окно для этого сайта."

добавлено через 1 минуту
Правильные ПРОТИВ
https://www.nic.ru/manager/settings.cgi
Описание домена может содержать только латинские буквы, цифры, знаки препинания и пробелы

А RIPN как относится к этому?
Тем более, что фактические эти HTML-тэги и есть "латинские буквы, цифры, знаки препинания и пробелы", только "=", "<" и ">" - не являются знаками препинания, зато остальное все в законе.

Все легально, веб-хуизы это не простые хуизы, которые в консоли просматриваются:

#whois xss.ru

В консоли XSS не может быть, значит все ок =)

Относительно легальности есть сомнения:

http://www.cctld.ru/ru/doc/acting/?id21=13&i21=1

5. ПОДДЕРЖКА СВЕДЕНИЙ О ДОМЕННОМ ИМЕНИ
5.1. В течение всего срока действия регистрации должна осуществляться поддержка сведений о доменном имени (поддержка домена) — внесение в Реестр сообщаемых Администратором сведений, относящихся к доменному имени и подлежащих отражению в Реестре (выделено мной - Andris), включая сведения, необходимые для идентификации Администратора (п. 5.2 Правил) и делегирования домена (п. 5.3 Правил).
5.2. К сведениям, необходимым для идентификации Администратора, относятся: для физического лица — имя, место жительства и сведения о документе, удостоверяющем личность; для юридического лица — полное наименование, место нахождения и сведения о его государственной регистрации.
5.3. К сведениям, необходимым для делегирования домена относятся имена серверов DNS домена, а также IP-адреса указанных серверов в случае, если имя DNS-сервера содержит название делегируемого домена.

Приложение
ИНФОРМАЦИЯ В РЕЕСТРЕ И ЕЕ ИСПОЛЬЗОВАНИЕ
1. Общие положения
1.1. Информация, сохраняемая в Реестре, используется:
(1) для фиксации прав администрирования зарегистрированных доменных имен;
(2) для обеспечения возможности адресации в сети Интернет;
(3) для предоставления по запросам третьих лиц информации о доменных именах в объеме и на условиях, установленных Правилами.
[...]
1.3. Регистратор и те лица, с которыми он взаимодействует при ведении Реестра, обязаны принимать необходимые меры по предотвращению несанкционированного использования информации. (выделено мной - Andris)

Но тут ничего не говориться явно о том, что программный код не может быть где-либо указан, а уж действия программного кода и подавно :)

Не говорится. Там вообще многое про что не говорится. Однако в п. 1.3 говорится про несанкционированное использование информации, взятой из БД. Открытие на компьютере пользователя некоего окна, содержащего в себе информацию, непосредственно не относящуюся к введённому пользователем запросу, может расцениваться именно как несанкционированное использование БД - ведь пользователя никто не предупредил (disclaimer), что кроме данных о домене, он получит ещё и рекламу какого-нибудь порнопортала.

Там же в п. 1.2 сказано:
1.2. Регистратор не вправе использовать информацию, сообщаемую Пользователем, в целях, не предусмотренных Правилами или Договором.

В общем, далее начинается казуистика. Итог: в RIPN NCC и в юридическую группу RIPN ушёл соответствующий запрос.

Так может это новое окошко с рекламой - это баг whois, ведь так оно и есть.

Это баг веб-хуиза, а не хуиза. Криворукость программистов.

1.3. Регистратор и те лица, с которыми он взаимодействует при ведении Реестра, обязаны принимать необходимые меры по предотвращению несанкционированного использования информации. (выделено мной - Andris)

Получается что Регистратор в ответе за это безобразие?

registrar: REGTIME-REG-RIPN
www: _http://www.webnames.ru

UFO, Terabyte, TSM
Да, конечно - это баг конкретной реализации WebWhois, однако базой для этого бага стало в т.ч. и формальное попустительство держателя Реестра .RU (RIPN) и конкретного Регистратора (RegTime). Любой мало-мальски квалифицированный Web- да и "обычный" программист скажет Вам, что данным, вводимым пользователями, доверять нельзя.

Программисты "кривые ручки" вообще ни за что не отвечают. Не нравиться, не доверяете - не пользуйтесь данным ресурсом


базой для этого бага стало в т.ч. и формальное попустительство держателя Реестра .RU (RIPN)
Как я понимаю, RIPN вот этим документом
http://www.cctld.ru/ru/doc/acting/?id21=13&i21=1 снял с себя ответственность за
несанкционированное использование информации

На мой взгляд, крайним в данном случае остается РЕГИСТРАТОР

Если Вы про п. 1.3 данного документа, то "лица, с которыми он (имеется в виду Регистратор - Andris) взаимодействует при ведении Реестра" - это и РосНИИРОС тоже.

1) Надо испраить хуиз
2) Точно так же надо исправить форму изменения вносимой инфы в дескрипшен домена.

Это баг веб-хуиза, а не хуиза. Криворукость программистов.

Это я и имел ввиду :)

добавлено через 1 минуту
1) Надо испраить хуиз
2) Точно так же надо исправить форму изменения вносимой инфы в дескрипшен домена.

+1, но лучше действовать согласно пункту 2, и надобность в пункте 1 отпадет :)

Whois где работает <? phpinfo(); ?> надо искать! Я не нашел пока =)

Whois где работает <? phpinfo(); ?> надо искать! Я не нашел пока =)

И не найдешь, потому что ты бред сказал. Почитай про XSS баги.

И не найдешь, потому что ты бред сказал. Почитай про XSS баги.
Можно так напрограммировать что у тебя и <% %> работать будет =) А так конечно врядли встречается.

добавлено через 34 секунды
сорри за оффтоп

Ответ RIPN NCC

From: "RIPN NCC" <ru-ncc@ripn.net>
To: andris@aernet.ru
Subject: [ru-center #938590] .RU whois: XSS in descr: field
Date: Fri, 15 Sep 2006 16:51:36 +0400 (MSD)
Message-ID: <rt-3.4.2-938590-7314483-6.14.1573203959915@nic.ru>

[...]

Здравствуйте, Андрей!

Мы благодарим Вас за разъяснение ситуации.
Данная проблема донесена до ТЦ, который в свою очередь планирует
привести работу ТЦ в соответствие с правилами регистрации.
Как только нам будут известны сроки реализации, мы Вас обязательно
уведомим.
Еще раз спасибо!

[...]

--
Best Regards,

Svetlana Esina
Regional Network Information Center (RU-CENTER)
phone: +7 495 737-0601
fax: +7 495 737-0602
http://www.nic.ru