Comments 9
Автор молодец, что пытался максимизировать свою прибыль и попытаться раскрутить вектор, но это не является уязвимостью. Если ознакомиться с правилами багбаунти Яндекса, можно увидеть:
открытые перенаправления, но если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен.
Это стандартная практика, такие правила выставляют все программы на h1. Так как прямого импакта нет, его можно достичь только соц.инженерией
Хм... Но ведь после перехода на страницу, на которую делается редирект, в адресной строке уже ни разу не домен Яндекса, а совершенно другой.
И коли у нас пользователь продвинутый и на адресную строку смотрит - то после того, как, несмотря на ввод правильного пароля, почему-то вылезла ошибка, - он тем более насторожится и всё перепроверит ещё раз. Не говоря уже про то, что если он продвинутый - то у него 2FA (каковой в Яндексе реализован весьма занятным, мягко говоря, способом).
А если пользователь не продвинутый и про то, что значат какие-то странные нерусские буковки в той строчке, куда он поисковые запросы пишет :), понятия не имеет (каковых 95%) - так он что с редиректом, что без оного введёт что угодно, зависит только от убедительности фишингового письма.
Тут скорее расчёт на то, что не должно быть редиректа на внешний ресурс. Например, я когда по хабру хожу, честно говоря не смотрю на адресную строку. Вбил один раз habr.ru и поехал. Здесь также, посмотрел один раз, вроде домен верный, яндексовый, поехал сёрфить… а он тебя за пределы Яндекса переводит, причём без твоего ведома.
Ну одно дело, когда я просто хожу по Хабру, Яндексу и пр. Другое - когда меня сначала почему-то просят ввести пароль, а после этого возникает подозрительная ситуация (он вдруг неверным оказывается). В общем, я ровно про то, что эффективность фишинга если это и повысит - то в очень незначительном количестве случаев. Большинству вообще пофиг на домен в адресной строке, а те, кто на него обращает внимание, (а) насторожатся (б) у них вообще 2FA, (в) попробуй ещё достаточно убедительное фишинговое письмо для таких параноиков составь :)
Согласен, параноика не провести. Тут скорее схема как с Артемием Лебедевым. Придёт письмо вида: "Здравствуйте aborouhin, очень нам понравился ваш коммент, можете нам скинуть на него статистику, которая находится по этой ссылке в вашем аккаунте https://account.habr.com/login..., не за бесплатно конечно же, заплатим сколько скажете!". Вот в общем виде что-то подобное будет, а вводить логин и пароль просить никто не будет.
мою фейковую страницу, на которой красными буквами было бы написано — “пароль не правильный, пожалуйста, введите его снова”.
Интересно, почему все фишеры палятся на грамматических ошибках? :) Или вы это намеренно? ))
К слову, гугол тоже не принимает open redirect'ы без серьезного импакта.
Open Redirect на Яндексе. Часть вторая