@Foxcool17 июл 2009 в 17:54

XSS на yandex.ru

1 мин

1.9K

Информационная безопасность *

+54

Комментарии 52

НЛО прилетело и опубликовало эту надпись здесь

@Foxcool 17 июл 2009 в 18:12

Безусловно. Сам пользуюсь этим расширением.

@q_styler 18 июл 2009 в 10:59

А ВОТ В ЛИНУКСЕ ВООБЩЕ ДЕФРАГМЕНТИРОВАТЬ НЕ НАДО!!!111

ой, простите, это кажется из другого холивора

@Foxcool 18 июл 2009 в 11:04

В этой теме, нормальным людям плевать на браузеры, и кто что использует. Пара комментариев задела лишь тех, у кого какие-то проблемы. думаю, что и в опере есть средства безопасности. Сам я кроме ФФ использую еще и легкий браузер Arora.

P.S. Холиварщики странные создания. Они ну нихрена не делают для любимого продукта, но меряются им с другими…

@evil_random 18 июл 2009 в 16:21

Как же вы заебали уже со своим noscript, adblock, firefox, opera, ie, windows, linux, macos.

@posthuman 17 июл 2009 в 19:07

У меня в ff не сработало (3.5) и в восьмом ослике.

@Foxcool 17 июл 2009 в 19:11

Только что один человек сказал, что у него на 3.5 работает. У меня на 3.0.11 тоже. Странно. На сайте тоже есть один комментарий подобный.

@posthuman 17 июл 2009 в 19:17

Ступил. Подумал, что вы привели поисковой запрос, а то сам url и есть. А на форум не стал заходить, ff отсоветовал)

@lamaz 17 июл 2009 в 19:21

Опера 9.64, FF 3.5.1, Chrome 2, IE8 — не работает. Странно это.

НЛО прилетело и опубликовало эту надпись здесь

@Foxcool 17 июл 2009 в 19:40

Написал сообщение человеку с этим вопросом. Сам не отправлял. Если хотите, можете уведомить, но я опубликовал на хабре еще и потому, что здесь есть их представители, а форумы подобной тематики читают другие ребята.

@kegf 17 июл 2009 в 19:36

поправили по ходу уже

@Foxcool 17 июл 2009 в 19:39

у меня работает

@alternativshik 17 июл 2009 в 19:46

аналогично

@GarretUA 17 июл 2009 в 20:16

Еще работает, Линукс и ФФ 3.5.1

@Habroche 17 июл 2009 в 20:44

Бедный ~~Йорик~~ Яндекс^*. Капчи ломают, XSS'ы находят… Куда мир катится?

_{* Найдётся всё ©}

P.S.: Всё вроде бы, исправили. Работало в 3.5.1, пока писал комментарий — перестало.

@alternativshik 17 июл 2009 в 20:54

Зато виджет добавился все равно) ФФ 3,5,1 Дебиан

@Foxcool 17 июл 2009 в 20:54

Молодцы. Довольно быстро.

@AzriMan 17 июл 2009 в 21:00

только что проверил. еще работало. фф 2.0.0.14
Noscript отрубил XSS и предупредил.
внизу добавился пустой виджет.

@Foxcool 17 июл 2009 в 21:04

Noscript реагирует на саму строку. У меня вроде теперь не работает.

@Vetal4eg 17 июл 2009 в 21:15

Это фича! Still work

@deniamnet 17 июл 2009 в 22:06

не работает
вообще странно, как Яндекс такое допустил
там кто работает? дяди Васи?

@Foxcool 17 июл 2009 в 22:10

Читайте выше. Уязвимость вполне оперативно закрыли. От ошибок никто не застрахован.

@deniamnet 17 июл 2009 в 22:27

ошибок? ошибка может быть в логике, в вычислениях…

уж простите, но не поставить фильтр на GET-данные — это не ошибка, это признак ламерства
они бы хотя бы striptags сделали
даже школяр, который пишет гостевую на PHP, уже через неделю 100% знает, что не фильтровать GET (равно как и POST) — это плохо

@Iv4n 17 июл 2009 в 22:46

Да ладно вам?! Программистов не знаете? Умные, но Ленивые. Вот поэтому все и происходит. Лень проверить написать готовые функции для единой проверки подобных вещей.
Так, что это не касяк. Просто запамятовали. С кем не бывает?!

У яндекса есть ошибки настоящие — это очевидно. Только знают о них единицы и пользуются в своё благо.

@deniamnet 17 июл 2009 в 22:52

«Умные, но Ленивые»
скажите это Гуглу, ага
там тоже как бэ программисты

@tenshi 18 июл 2009 в 00:56

а в гугле нету дырок? 0_0

@GHS 18 июл 2009 в 04:21

О да, скажите гуглу, пусть тоже писать поучатся. Им есть куда развиваться.

@DmitriKadykov 18 июл 2009 в 05:33

От ошибок никто не застрахован — факт. Но когда такая мощная компания допускает такое в своем основном, между прочим, сервисе — это уже слишком. Мне кажется — основная проблема в их снобизме. Например PHP для них вообще запретная тема, насколько я слышал.

@Phaker 18 июл 2009 в 10:31

На PHP moikrug.ru работает, как это может быть запретной темой?

@DmitriKadykov 18 июл 2009 в 12:09

МК — изначально не их проект. Был куплен уже после. А вообще, мне об этом говорил человек, работавший в Яндексе несколько лет. Я могу поспрашивать поподробней, если есть желание.

@blackst0ne 23 июл 2009 в 12:04

Поспрашивайте. Заодно узнайте что они любят и что используют. =)
Для расширения кругозора.

@BiTHacK 19 июл 2009 в 11:10

Вспомните про XSS у вконтакте, его не правили несколько месяцев, и хз исправили ли сейчас;)

@Foxcool 19 июл 2009 в 11:45

По слухам, этот контакт просто кишит багами. Думаю, что все в приватах форумных есть. Наши тоже находили какую-то уязвимость. Причем, если мне не изменяет память, SQL-injection. (:

@Duti_Fruti 18 июл 2009 в 00:09

При чём тут дяди Васи? Баги встречаются на многих сайтах крупных, например:
Не так давно (2-3 мес назад) SQL инъекция на Intel.com пару недель лежала в приватах на хак форумах, но нечего утянуть ценного не удалось.
Это из крупных не единичный случай…
www.cec.gov.ge
mju.gov.si
www.president.gov.ge
www.medportal.ge
government.gov.ge
www.adjara.gov.ge
думаю не надо объяснять что за домены gov, на них пару лет назад тоже были SQL…
ldpr.ru сайт Жириновского (слиты базы)
outdoor-komitet.ru а а эти даже за год не сменили пароль на админку, мб и не залатали багу…
Так что не удивительно что на каком-то там яндексе нашли паршивую XSS-пасивную, они и раньше были…

@CRL 18 июл 2009 в 04:42

Да 90% .gov сайтов — сплошные дыры

@Foxcool 18 июл 2009 в 05:50

Кстати, очень интересно ведут себя WEB-разработчики и администраторы сайтов. Им пишешь добровольно, что у них дыра там-то и там-то, причем уязвимости кошмарные бывают, а они просто ну никак не реагируют, а потом, когда их школота дефейсит, начинают что-то делать.

@vadkuz 18 июл 2009 в 08:37

бюджет не выделили

@foboss 18 июл 2009 в 09:49

Как сотрудник гос.конторы могу сказать, что иногда только эта «школота» может сдвинуть с мертвой точки наглухо замороженный бюджет на модернизацию web-служб.

@Duti_Fruti 18 июл 2009 в 10:37

Да, полностью с вами согласен. Есть такие. Но есть и адекватные. Как то нашёл XSS на одном провайдере, написал в сапорт, сказали спасибо за информацию, придёт тех работник мы ему сообщим. Так же было когда писал одному файлообменнику что у него есть дыры он сказал что если что то случиться то засудит меня, вот и сообщай после этого им )
Хотя всё же больше адекватных. Но то что ты написал про бюджет гос учреждений, бывают просто сидят там те кто не знает про дыры и тд, их просто посадили следить за наполнением сайта. Встречался также с мегатупостью, пишу одному админу мелкого хак форума и говорю что его взломали и пароли от фтп и тд в паблик кто то выкинул, он сказал что ну и пусть, у меня если что есть бекап если что нибудь сделают…

НЛО прилетело и опубликовало эту надпись здесь

@kurokikaze 18 июл 2009 в 06:26

Chrome 2 — не работает.

@iShaman 18 июл 2009 в 08:15

Написали же уже, что пофиксили.

@Captcha 18 июл 2009 в 14:09

@prokomi 18 июл 2009 в 14:33

проверил в лисе 3.5.1. — не работает ))

@deex 18 июл 2009 в 15:20

зачем тогда вообще было создавать эту тему?

@Foxcool 18 июл 2009 в 15:51

На момент создания темы уязвимость была. Вы вообще комментарии не читаете? Об уязвимости узнали благодаря сообщению.

@deex 19 июл 2009 в 04:13

в таком случае уместнее было бы сообщить яндексу напрямую, чем через хабр
это идиотизм — создавать на кажду xss по отдельной теме. даже если она актуальна

@max7 18 июл 2009 в 15:35

Noscript в FF написал: отфильтровал потенциальную XSS атаку.

@Syrok 18 июл 2009 в 17:22

ух-ты, вот это новость ;-)

@LMaster 19 июл 2009 в 20:11

Вот и я. Технология виджетов на Яндексе может здорово помочь обычным пользователям, но текущая её реализация очень уязвима. Я бы хотел, чтобы вы (в т.ч. сотрудники Яндекса) задумались над этим вопросом.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий