How to become an author
Search
Write a publication
Pull to refresh

Comments 95

Ты серьезно или просто так? А то я тут новенький, еще не понимаю, кто серьезно говорит, а кто в пустую…
Rating is hidden
Здесь всё тлен.
На самом деле, нет.
Rating is hidden
>на Хабре был частым человеком и заходил сюда по своему аккаунту.
>я тут новенький
Шиза какая-то.
Rating is hidden
Частым в плане чтения новостей, но не обсуждения их. Я комментарии даже и не читал, так как и ответить не мог!
Rating is hidden
зря не читал.
Часто в комментариях больше информации, чем в самом топике.
Либо альтернативное решение задачи топика.
Rating is hidden
А зря, тут в комментах информации порой больше чем в посте
Rating is hidden
В некоторых статьях вся соль именно в комментариях)

p.s. впредь всегда буду обновлять страницу перед публикацией комментария
Rating is hidden
Я вроде совсем не новенький, но все равно не всегда понимаю кто говорит серьезно, а на что реагировать нужно с иронией ;)
Rating is hidden
Они сами этого не понимают, всё в порядке.
Rating is hidden
Если остановиться и подумать — всё обычно становится ясно. Обычно многие держут «в уме» последний абзац или соседний пост, или местный мем, или правила хабрахабра.
В данном случае вполне может иметь место сарказм, рассматривающий основную цель хабрахабра: «делиться знаниями». Вот данный пост мне знаний не прибавил, оттого и у меня тоже первая мысль: «зачем оно мне?».
Rating is hidden
Более подробнее в нижнем комментарии раскрывается мысль:
habrahabr.ru/post/197466/#comment_6847770
А если «держать в уме» вывод, который получается, если остановиться и подумать, а именно — в данном случае SelfXSS, то всё станет ещё яснее.
Rating is hidden
Это вы сейчас серьезно, или иронизируете?))
Rating is hidden
Ну XSS-уязвимость это не так уж и серьезно. Максимум спереть куку
Rating is hidden
А на хабре куки http-only, так что и их не сопрешь
Rating is hidden
Максимум спереть куку админа, максимум получить доступ в админку, максимум слить базу, максимум залить шёлл… Даже уязвимости класса «раскрытие информации» могут быть полезными.
Rating is hidden
Не в этом случае. Тут даже ссылку на стрничку с xss дать невозможно.
Rating is hidden
Кажется я что-то не понял, а в чём тогда уязвимость? 0_о
Rating is hidden
Ну так вся соль в этом — нет ее в таком виде, чтоб придумать как использовать на других пользователях.
Rating is hidden
UFO landed and left these words here
XSRF, для обхода фильтрации по рефереру и токенам, да.
Rating is hidden
Здесь SELF XSS, ничего не выйдет.
Rating is hidden
UFO landed and left these words here
Хабр нельзя открыть во фрейме. SAMEORIGIN
Rating is hidden
UFO landed and left these words here
зачем фрейм, если можно постить в target=_blank например.
Rating is hidden
а пофиг заметен или нет, XSS то исполнится )
Rating is hidden
Если не передаются заголовки на запрет открытия сайта во фрейме(X-Frame-Options: SAMEORIGIN(DENY)), то все проворачивается на раз-два.
Rating is hidden
Но POST запрос будет отправляться с другого домена только
Rating is hidden
UFO landed and left these words here
Разница в том, что это легко фильтруется по реферу
Rating is hidden
UFO landed and left these words here
Для защиты от XSS нужно фильтровать вводимые данные) Если есть на сайте xss, то токены не спасут :(
Данные можно передавать не только во фрейме, можно грубо автосабмитом формы с последующим перенаправлением и sameorigin не поможет.
Rating is hidden
UFO landed and left these words here
На своем сайте делаем форму с Post-dat'ой, и по онлоаду передаем форму на чужой скрипт. Не обязательно же делать тоже самое, но во фрейме. Фрейма нет, проверки реферера нет, данные переданы, SAMEORIGIN не помогает.
Rating is hidden
Не все админы правильно формируют регулярки проверки реферера, если вы об этом, например, на хабре, изловчившись, можно было отправить запрос с похожего домена(сейчас fixed) и такое встречается часто.
Rating is hidden
UFO landed and left these words here
В хроме и ие уже стоят фильтры на XSS, осталось дождаться солидарной поддержки со стороны других и забудем о пассивках навсегда :)
Rating is hidden
UFO landed and left these words here
Это называется жаргон. Давно не следил за этой темой, но если я не ошибаюсь, то единственный «обход» — передаваемые данные уже внутри Js, остальные же извращения регулярно фиксят.
Rating is hidden
UFO landed and left these words here
UFO landed and left these words here
зачем то заминусовали адекватный комент
Rating is hidden
одумался и отписался в техподдержку

Поевезло, что техподдержка на хабре адекватная.
А то бы вышло как с Фейсбуком )
Rating is hidden
Мне много не надо, мне инвайта хватит…
Rating is hidden
Переименуйте в «Как я НЕ взломал Хабр, а написал в техподдержку»
Rating is hidden
И перенесите в «Я пиарюсь» еще до кучи
Rating is hidden
> Сначала я решил сделать какое-нибудь черное дело через уязвимость

Я что-то не пойму, что вообще можно сделать через эту уязвимость? Приведите пример, как ее можно эксплуатировать?
Rating is hidden
Уязвимость нельзя эксплуатировать — поэтому написали в саппорт? Иначе бы реально кого-то взломали? Так нужно трактовать Ваш краткий ответ?
Rating is hidden
Вы все верно поняли, только «написал» — «автор написал в саппорт»
Rating is hidden
UFO landed and left these words here
А по-моему, самое замечательное оформление сарказма — это без тегов, смайликов, спойлеров и всего остального.
Просто если сарказм хороший, его и так поймут, а если не поймут — значит, плохой.
Rating is hidden
Хороший = народный, понятный всем и каждому?
Rating is hidden
Вообще, да. Юмор, ирония и сарказм должны быть понятны аудитории. Иначе зачем они нужны?
А клеить тег <sarcasm> — это так же тупо, как объяснять анекдоты. Если сарказм непонятен, и это очевидно даже автору — лучше бы его не было совсем (<joke>сарказма, а не автора</joke>).
Rating is hidden
Лучшая шутка та, которую поняли не все.

Английская пословица

Но блеснуть на Хабре тонким английским юмором без последствий вряд ли получится. Непонявшие заминусуют )
Rating is hidden
По-моему, юмор на этом и строится — на ощущении «Не понял… не понял… А! Понял! Хахаха!».
И чем дольше и напряженнее это «Не понял», тем шутка лучше и тоньше. Самое трудное — это найти баланс, чтобы было понятно не сразу, но в итоге, всё-таки, понятно.
Rating is hidden
Пассивная XSS, серьезно? С учетом того, что хром, опера, ие явно фильтруют любую пассивную инъекцию(с некоторыми оговорками).
Я тоже, кстати, подобным образом инвайт получил, но там было немного интереснее :)
Rating is hidden
Отличная программа поощрения поиска багов от Хабра. Нашел баг — отписался в техподдержку — получил инвайт. Объявили бы об этом официально.
Rating is hidden
Такой заголовок… Я удивлен как ещё о нём не сказали в новостях.
Rating is hidden
Перенесите в блог «Информационная безопасность», пусть держит уровень!
Rating is hidden
UFO landed and left these words here
Жесть какая, куда только эти разработчики смотрят? Такую дырищу оставить на самом видном месте. После этого не пользуюсь браузерами.
Rating is hidden
«Зачем мне Chrome и Firefox, я юзаю wget.
Я ведь не браузер смотрю, а интернет.»
Rating is hidden
Когда то давно получил инвайт за найденный на нестандартном порту бэкэнд, в котором не блокировались запросы к папке .svn, в которой лежали исходники, в т.ч. всякие пароли…
Я ни разу не афишировал это, а тут странный XSS, которой очень сложно использовать.
Я не знаю есть ли смысл ставить куку в .habrahabr.ru, поддоменов вроде бы уже нет.
Rating is hidden
Принципы не позволяют выкладывать какие — то умные способы обхода в публичный доступ, есть другая работа, кроме как отлавливать юных хакеров из логов. Скорее хочется наоборот продвигать безопасность систем, а не способы компрометации.
Rating is hidden
«Я ни разу не афишировал это» = false
Rating is hidden
пост написан в 13:37 :) совпадение или автор старался попасть именно в этом время? )
Rating is hidden
Are you ***** kidding me? :D

«Взломал Хабр», «постовый script alert» = инвайт на хабр?)) требую себе второй! :D
Rating is hidden
Сначала я решил сделать какое-нибудь черное дело через уязвимость, но потом одумался и отписался в техподдержку.


Какое-такое черное дело? Попросить админа ввести код вредноносного скрипта в поле email?

Кстати, на руках есть активка на ICQ.com, стоит рассказать Хабру о ней? В техподдержку майлру писал, меня попросили прислать скрины ошибки, и ничего не пофиксили.
Rating is hidden
Вы молодец, хороший сайт, хоть и требует доработки.
Вот мой каммит в виде актуального контента.

bugscollector.com/db/icq.com/57/
(активная xss на icq.com)
Rating is hidden
Нет, это не активная XSS, это пассивная.
Rating is hidden
UFO landed and left these words here
На самом деле у меня их две: активная и пассивная, и я случайно запостил пассивную под именем активной. Настоящую активку запостю позже, но вы дело говорите!
Rating is hidden
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2025, Habr