Сначала я решил сделать какое-нибудь черное дело через уязвимость, но потом одумался и отписался в техподдержку.
Какое-такое черное дело? Попросить админа ввести код вредноносного скрипта в поле email?
Кстати, на руках есть активка на ICQ.com, стоит рассказать Хабру о ней? В техподдержку майлру писал, меня попросили прислать скрины ошибки, и ничего не пофиксили.
Сам сейчас учусь в Канаде в High School. Времени фрилансить у меня тут нет вообще. Когда в России учился в 9 классе зарабатывал около 500$ в месяц на карманные расходы. Сейчас все оплачивают родители — совесть мучает, потому что трудно деньги им даются, а тут все дорого. Говорю им, давайте вернусь и буду в российском ВУЗе бесплатно учиться, а они нет, мы хотим тебе будущее устроить. Не верят они уже ничему в России, к сожалению… В следующем году решил поступать в Memorial University на Computer Engineering. Самый дешевый ВУЗ в Канаде, который я нашел, и у которого есть Computer Engineering.
Я, конечно, сообщил уже в Google, неделю назад как. Сначала они не могли воспроизвести (слали вместо POST запроса GET и жаловались на 500 ошибку), теперь просто замолчали, со словами, что скоро будет исправлено. Яндекс, для сравнения, XSS фиксит за 3 часа. Респект! :)
Не знаю как в Google+, но, например, в Фейсбуке и ВКонтакте есть auth_key, который подсчитывается по схеме (user_id + app_id + secret_key) на сервере платформы и сверяется на сервере приложения. Очевидно, подменить user_id уже не получится. А с рекордами, к сожалению, ничего не поделаешь (кроме вышеизложенных способов).
Думаю, что разработчиков можно обвинить в халатности хотя бы за это :)
Кстати, для таких целей использую этот сниффер. Работает как прокси сервер. Более того, у него есть возможность ставить брейкпоинты на определенные домены. (Например, Ваш браузер пытается сделать запрос куда-либо, но сниффер ставит его в состояние паузы и дает возможность подкорректировать.)
Вот мой каммит в виде актуального контента.
bugscollector.com/db/icq.com/57/
(активная xss на icq.com)
Какое-такое черное дело? Попросить админа ввести код вредноносного скрипта в поле email?
Кстати, на руках есть активка на ICQ.com, стоит рассказать Хабру о ней? В техподдержку майлру писал, меня попросили прислать скрины ошибки, и ничего не пофиксили.
Думаю, что разработчиков можно обвинить в халатности хотя бы за это :)
Кстати, для таких целей использую этот сниффер. Работает как прокси сервер. Более того, у него есть возможность ставить брейкпоинты на определенные домены. (Например, Ваш браузер пытается сделать запрос куда-либо, но сниффер ставит его в состояние паузы и дает возможность подкорректировать.)
Конечно стоит.
SEO — Search Engine Optimization (Поисковая оптимизация)