Pull to refresh

Comments 54

«Internet Explorer has modified this page to help prevent cross-site scripting.»
NoScript в Firefox тоже ругается
Даже крупные организации грешат XSS, что уж говорить о мелких самописных CMSках? BTW — готовлю материал для создания некого подобия сертификата безопасности веб систем — если есть интерес — могу опуб
Если проводить мышкой по пустому месту — появляется рука. Ну, это побочное действие :)
после этого топика, руководство яндекса просто обязано взять автора тестировщиком :)
Просто обязаны пересмотреть нынешних кадров-программистов.
Эта уязвимость не такая очевидная. Ведь, вроде как, данные, приходящие get-ом, фильтруются. И на этапе разработки(или даже тестирования) не каждый профессиональный кодер(тестер) заметит.
Есть ли опасность, если аутентификационному кукису установлен флаг httponly? Кстати, yandex устанавливает этот флаг?
Вроде ж httponly только в ИЕ работает…
В Opera 11.50 Mac не всегда срабатывает, фрейм на пикселей 7 выше чем курсор.
При наведении на любую ссылку Chrome пишет, снизу в статусной строке, что будет происходить.
Если на ссылку навешан джаваскрипт, то не всегда.
UFO just landed and posted this here
Владельцу и так уже урок был в пятницу вечером. Этот-то за что? :)
Самопиар Детский сад. Все вокруг возомнили себя учителями и позабыли про принятую этику публикации информации об уязвимостях.
95 год, максимализм и т.п.
Урок владельцу, а страдают кто?
Chrome 15 под убунтой, никаких алертов нет.
Но автор, конечно, молодец, а вот Яндексу стоит серьёзнее следить за безопасностью своих сервисов. Я в торе видел сайты намного более защищенные от подобных проделок.
NoScript в FF помог.
Cразу же сообщил о блокировке XSS, а при попытке клика на странице — вывел дополнительное сообщение об XSS.

p.s. Ещё желательно поменять курсор — он тоже наводит на мысли о чём-то нехорошем.
p.p.s. А за исследование спасибо, не знал о таком.
Как поменять css в фрейме, где загружен чужой сайт?
браузер не даст поменять чужой сайт во фрейме.
Только сообщил Яндексу, и тут внезапно bit.ly/qLMGgH. Я в курсе, как называется данный тип техники, но тут фишка ещё и в безопасности Яндекса. Некоторые расширения помогают бороться с уязвимостью.

А IE вообще блокирует такие страницы. :)
UFO just landed and posted this here
Простите уж, парсер не принимает ссылки с спецсимволами. :)
А где-то сидит сейчас один какой-то конкретный человек и, положив ладонь на лицо, думает… Много думает… :)
Прапорщик Оригинальность?
Как это мило — разместить уязвимость на Яндексе на хостинге от Яндекса.
Эй, это мой аватар! 8)
Мысли сходятся значит, я сам рисовал переворачивал!
Mac OS 10.7/Safari 5.1 — не срабатывает, пустая страница
Проверил еще в других браузерах: Chrome и Firefox пусто, Opera — показывает какую-то жуть, но в целом работает
Когда только опубликовали оно работало, сейчас только грузит страницу, но щелчок по ней не работает, в яндексе начали чинить? (хром 15\вин XP)
Похоже, запретили все протоколы, кроме HTTP, HTTPS и FTP.
Уже прикрыли уязвимость. Печально, а то хотел попробовать
Похоже, что в последний месяц это становиться некоторой проверкой мужественности. Как древние люди ходили охотиться на льва, чтобы доказать что они стали мужчинами, так и современные веб-программисты ищут очередную дырку в Яндыксе. Пока дырку не нашёл — тру прогером не будешь.
Что это бред? Откуда Вы это взяли?
За последний месяц различных дырок в Яндыксе тут уже несколько штук пробегало. Не считая поисковые запросы. Вот я и задумываюсь, что все так массово ломанулись.
Уязвимость пофиксили.

На почту пришло:
Добрый день, Олег!

Благодарим за интерес к работе нашего сервиса и Ваше сообщение, мы обязательно проверим указанную Вами информацию. Ваше письмо направлено разработчикам.

--
С уважением, [имя сотрудника]
Служба поддержки Яндекса
http://help.yandex.ru/


Я действительно очень рад за Яндекс, что уязвимости прикрываются с такой быстрой скоростью.
Sign up to leave a comment.

Articles