Как я взломал Хабрахабр

[@evnuh]

Пешы еще!

[@InCode]

Ты серьезно или просто так? А то я тут новенький, еще не понимаю, кто серьезно говорит, а кто в пустую…

[@Dreddik]

Здесь всё тлен.
На самом деле, нет.

[@UUSER]

>на Хабре был частым человеком и заходил сюда по своему аккаунту.
>я тут новенький
Шиза какая-то.

[@InCode]

Частым в плане чтения новостей, но не обсуждения их. Я комментарии даже и не читал, так как и ответить не мог!

[@GBA]

зря не читал.
Часто в комментариях больше информации, чем в самом топике.
Либо альтернативное решение задачи топика.

[@zoo]

А зря, тут в комментах информации порой больше чем в посте

[@Dreddik]

Особенно в этом? =))

[@Bringoff]

Ну, в Вашем так точно…

[@Dreddik]

Ну что вы так, я же про пост :)

[@Suvitruf]

В некоторых статьях вся соль именно в комментариях)

p.s. впредь всегда буду обновлять страницу перед публикацией комментария

[@Mulin]

Я вроде совсем не новенький, но все равно не всегда понимаю кто говорит серьезно, а на что реагировать нужно с иронией ;)

[@torbasow]

Они сами этого не понимают, всё в порядке.

[@ainu]

Если остановиться и подумать — всё обычно становится ясно. Обычно многие держут «в уме» последний абзац или соседний пост, или местный мем, или правила хабрахабра.
В данном случае вполне может иметь место сарказм, рассматривающий основную цель хабрахабра: «делиться знаниями». Вот данный пост мне знаний не прибавил, оттого и у меня тоже первая мысль: «зачем оно мне?».

[@ainu]

Более подробнее в нижнем комментарии раскрывается мысль:
habrahabr.ru/post/197466/#comment_6847770
А если «держать в уме» вывод, который получается, если остановиться и подумать, а именно — в данном случае SelfXSS, то всё станет ещё яснее.

[@Mulin]

Это вы сейчас серьезно, или иронизируете?))

[@bob_lyashenko]

я тут новенький, еще не понимаю

LOL..)

[@voff]

Ну XSS-уязвимость это не так уж и серьезно. Максимум спереть куку

[@WEBIVAN]

А на хабре куки http-only, так что и их не сопрешь

[@DarkByte]

Максимум спереть куку админа, максимум получить доступ в админку, максимум слить базу, максимум залить шёлл… Даже уязвимости класса «раскрытие информации» могут быть полезными.

[@voff]

Не в этом случае. Тут даже ссылку на стрничку с xss дать невозможно.

[@DarkByte]

Кажется я что-то не понял, а в чём тогда уязвимость? 0_о

[@shsmad]

Ну так вся соль в этом — нет ее в таком виде, чтоб придумать как использовать на других пользователях.

[@DarkByte]

Теперь уже понял, спасибо.

[@hMartin]

XSRF, для обхода фильтрации по рефереру и токенам, да.

[@BeLove]

Здесь SELF XSS, ничего не выйдет.

[@hMartin]

Хабр нельзя открыть во фрейме. SAMEORIGIN

[@Homakov]

зачем фрейм, если можно постить в target=_blank например.

[@hMartin]

фрейм не так заметен)

[@Homakov]

а пофиг заметен или нет, XSS то исполнится )

[@voff]

К сожалению, политика безопасности браузеров такое не позволяет

[@hMartin]

Если не передаются заголовки на запрет открытия сайта во фрейме(X-Frame-Options: SAMEORIGIN(DENY)), то все проворачивается на раз-два.

[@zTrue]

Но POST запрос будет отправляться с другого домена только

[@zTrue]

Разница в том, что это легко фильтруется по реферу

[@hMartin]

Для защиты от XSS нужно фильтровать вводимые данные) Если есть на сайте xss, то токены не спасут :(
Данные можно передавать не только во фрейме, можно грубо автосабмитом формы с последующим перенаправлением и sameorigin не поможет.

[@hMartin]

На своем сайте делаем форму с Post-dat'ой, и по онлоаду передаем форму на чужой скрипт. Не обязательно же делать тоже самое, но во фрейме. Фрейма нет, проверки реферера нет, данные переданы, SAMEORIGIN не помогает.

[@hMartin]

Не все админы правильно формируют регулярки проверки реферера, если вы об этом, например, на хабре, изловчившись, можно было отправить запрос с похожего домена(сейчас fixed) и такое встречается часто.

[@KawaiDesu]

К счастью*

[@hMartin]

В хроме и ие уже стоят фильтры на XSS, осталось дождаться солидарной поддержки со стороны других и забудем о пассивках навсегда :)

[@hMartin]

Это называется жаргон. Давно не следил за этой темой, но если я не ошибаюсь, то единственный «обход» — передаваемые данные уже внутри Js, остальные же извращения регулярно фиксят.

[@Homakov]

зачем то заминусовали адекватный комент

[@GBA]

одумался и отписался в техподдержку

Поевезло, что техподдержка на хабре адекватная.
А то бы вышло как с Фейсбуком )

[@InCode]

Мне много не надо, мне инвайта хватит…

[@zTrue]

Переименуйте в «Как я НЕ взломал Хабр, а написал в техподдержку»

[@zTrue]

И перенесите в «Я пиарюсь» еще до кучи

[@BeLove]

Ок) Ломаем Хабр, 6 раз подряд

[@Flex25]

> Сначала я решил сделать какое-нибудь черное дело через уязвимость

Я что-то не пойму, что вообще можно сделать через эту уязвимость? Приведите пример, как ее можно эксплуатировать?

[@zTrue]

никак, поэтому и написал

[@shanker]

Уязвимость нельзя эксплуатировать — поэтому написали в саппорт? Иначе бы реально кого-то взломали? Так нужно трактовать Ваш краткий ответ?

[@zTrue]

Вы все верно поняли, только «написал» — «автор написал в саппорт»

[@Abcd_Efgh]

Вывести себе алерт, например.

[@oshibka404]

А по-моему, самое замечательное оформление сарказма — это без тегов, смайликов, спойлеров и всего остального.
Просто если сарказм хороший, его и так поймут, а если не поймут — значит, плохой.

[@Nordvind]

Хороший = народный, понятный всем и каждому?

[@oshibka404]

Вообще, да. Юмор, ирония и сарказм должны быть понятны аудитории. Иначе зачем они нужны?
А клеить тег <sarcasm> — это так же тупо, как объяснять анекдоты. Если сарказм непонятен, и это очевидно даже автору — лучше бы его не было совсем (<joke>сарказма, а не автора</joke>).

[@Badevlad]

Лучшая шутка та, которую поняли не все.

Английская пословица

Но блеснуть на Хабре тонким английским юмором без последствий вряд ли получится. Непонявшие заминусуют )

[@oshibka404]

По-моему, юмор на этом и строится — на ощущении «Не понял… не понял… А! Понял! Хахаха!».
И чем дольше и напряженнее это «Не понял», тем шутка лучше и тоньше. Самое трудное — это найти баланс, чтобы было понятно не сразу, но в итоге, всё-таки, понятно.

[@zag2art]

Первым делом осваивайте habracut

[@SDSWanderer]

Желтизна в заголовке!)

[@hMartin]

Пассивная XSS, серьезно? С учетом того, что хром, опера, ие явно фильтруют любую пассивную инъекцию(с некоторыми оговорками).
Я тоже, кстати, подобным образом инвайт получил, но там было немного интереснее :)

[@titulusdesiderio]

Так поделитесь же!

[@Semisonic]

Пост, достойный 1337 haxxor'а =).

[@d00kie]

Self-XSS )

[@tangro]

Отличная программа поощрения поиска багов от Хабра. Нашел баг — отписался в техподдержку — получил инвайт. Объявили бы об этом официально.

[@entaure]

Такой заголовок… Я удивлен как ещё о нём не сказали в новостях.

[@Fed_Mikron]

Как мало человеку нужно для счастья.

[@Nordvind]

Перенесите в блог «Информационная безопасность», пусть держит уровень!

[@wiygn]

Жесть какая, куда только эти разработчики смотрят? Такую дырищу оставить на самом видном месте. После этого не пользуюсь браузерами.

[@prefrontalCortex]

«Зачем мне Chrome и Firefox, я юзаю wget.
Я ведь не браузер смотрю, а интернет.»

[@stan_jeremy]

я думаю стоит доверять только курлу

[@elibri]

Спс, посмеялся от души!

[@betal]

Когда то давно получил инвайт за найденный на нестандартном порту бэкэнд, в котором не блокировались запросы к папке .svn, в которой лежали исходники, в т.ч. всякие пароли…
Я ни разу не афишировал это, а тут странный XSS, которой очень сложно использовать.
Я не знаю есть ли смысл ставить куку в .habrahabr.ru, поддоменов вроде бы уже нет.

[@wiygn]

Самое время вспомнить про Эффект Даннинга — Крюгера

[@betal]

Принципы не позволяют выкладывать какие — то умные способы обхода в публичный доступ, есть другая работа, кроме как отлавливать юных хакеров из логов. Скорее хочется наоборот продвигать безопасность систем, а не способы компрометации.

[@waphyld]

«Я ни разу не афишировал это» = false

[@RuslanZavackiy]

пост написан в 13:37 :) совпадение или автор старался попасть именно в этом время? )

[@stan_jeremy]

Are you ***** kidding me? :D

«Взломал Хабр», «постовый script alert» = инвайт на хабр?)) требую себе второй! :D

[@berman]

Сначала я решил сделать какое-нибудь черное дело через уязвимость, но потом одумался и отписался в техподдержку.

Какое-такое черное дело? Попросить админа ввести код вредноносного скрипта в поле email?

Кстати, на руках есть активка на ICQ.com, стоит рассказать Хабру о ней? В техподдержку майлру писал, меня попросили прислать скрины ошибки, и ничего не пофиксили.

[@BeLove]

Есть bugscollector.com x)

[@berman]

Вы молодец, хороший сайт, хоть и требует доработки.
Вот мой каммит в виде актуального контента.

bugscollector.com/db/icq.com/57/
(активная xss на icq.com)

[@hMartin]

Нет, это не активная XSS, это пассивная.

[@berman]

На самом деле у меня их две: активная и пассивная, и я случайно запостил пассивную под именем активной. Настоящую активку запостю позже, но вы дело говорите!

[@evildoer]

habrahabr.ru/users/InCode
Аффтар(tm) в Read-only.

К успеху так пришёл. (-: