Dimones Jul 20 2015 at 17:30

Пришла беда откуда не ждали, уязвимость XSS в сервисе Яндекс.Метрика

1 min

29K

Information Security*JavaScript*Programming*Yandex API*

+49

Comments 22

EminH Jul 20 2015 at 18:27

То есть пытались взолмать вас, а взломали метрику?

Dimones Jul 20 2015 at 18:52

Именно! Даже не сказать что взломали ведь ничего страшного не произошло, но осадочек остался)

EminH Jul 21 2015 at 10:13

ОК, Яндекс то XSS на метрике закрыл, а на mynstu.me будете проблему решать?
там то точно XSS как минимум, а может что и похуже
(я в личку писал еще вчера, никакой реакции)

Dimones Jul 21 2015 at 10:23

Да, я видел ваше сообщение. Дело в том что сервис не работает. Думаю сегодня я его совсем отключу. А за находку, большое спасибо!

Homakov Jul 20 2015 at 19:25

Стоп серьезно такую очевидную XSS тотально из юзер инпута заметили в метрике только сейчас? Может регрессия какая.

Dimones Jul 20 2015 at 20:19

Возможно. Я думаю что это все связано с редизайном метрики. Ребята из Яндекса мне не рассказали почему раньше не заметили)

oxdef Jul 20 2015 at 20:40

Спасибо автору за то, что предварительно сообщил нам об обнаруженной проблеме. Благодаря этому мы смогли наградить его в рамках «Охоты за ошибками». Пишите нам в таких случаях.

+11

UdarEC Jul 20 2015 at 20:55

Интересно, почему под FF на yandex.ru/bugbounty

ошибка ssl сертификата

Secure Connection Failed
The connection to the server was reset while the page was loading.

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.

UPD. Как давно TLS 1.2 считается устаревшей?

oxdef Jul 20 2015 at 22:20

Напишите, пожалуйста, подробности на feedback2.yandex.ru/bugbounty
Заранее спасибо!

UdarEC Jul 21 2015 at 01:31

Просто хотел узнать, у меня одного в Firefox не открывается yandex.ru/bugbounty?

Core2Duo Jul 21 2015 at 06:56

Chrome 43.0.2357.134 m, не открывается, ERR_EMPTY_RESPONSE

Quber Jul 21 2015 at 07:00

тоже самое

Dimones Jul 21 2015 at 07:08

Здравствуйте, возможно какие-то проблемы у провайдера, все же сервер расположен на мощностях университета.

Dimones Jul 21 2015 at 07:26

Это информация если что то у меня работать не будет. Спросонья немного в контексте не понял о чем именно речь.

UdarEC Aug 12 2015 at 01:13

На данный момент все работает нормально.

Dimones Jul 20 2015 at 21:32

Стоп. А как меня наградили?

+11

Dimones Jul 20 2015 at 21:35

Ложная тревога. Все дали. Простите.

+10

NetherNN Jul 20 2015 at 21:51

Простите за любопытство, Вам правда что-то дали (перечислили)? А то я уже давненько жду и тишина…

oxdef Jul 20 2015 at 22:21

Напишите, пожалуйста, в feedback2.yandex.ru/bugbounty — разберёмся. Не забудьте указать номер тикета (репорта).

MaximChistov Jul 21 2015 at 01:04

А какая сумма, если не секрет?

guyfawkes Jul 20 2015 at 22:15

Хм, а политика в отношении «90 дней тишины» изменилась?

oxdef Jul 20 2015 at 22:35

Это необходимо для перестраховки, что всё успели исправить к моменту публикации. В данном случае проблема уже исправлена.

Show the best of all time