Комментарии 80
Ссылка из приведенного поста не работает:
По запросу «» не найдено ни одного письма.
Но вот если зайти в почту, то сообщение «XSS» есть и у Меня в голове диссонанс с высказываниями:
и
Помогите понять.
По запросу «» не найдено ни одного письма.
Но вот если зайти в почту, то сообщение «XSS» есть и у Меня в голове диссонанс с высказываниями:
Итак, скрипт срабатывает, а значит, есть уязвимость
и
… выразить благодарность команде mail.ru, которые закрыли эту уязвимость в считаные минуты.
Помогите понять.
Как и положено, автор сначала сообщил о проблеме в mail.ru, дождался пока её починят, и лишь потом пошёл зарабатывать карму на Хабре.
Я говорю про сейчас: если зайти в почту, то сообщение «XSS» есть.
Хотя чётко дано утверждение, что если такое сообщение есть — есть уязвимость. И внизу приписано — уязвимости нет.
Хотя чётко дано утверждение, что если такое сообщение есть — есть уязвимость. И внизу приписано — уязвимости нет.
Согласен. Попробовал, скрипты отлично срабатывают. Видимо разработчики не до конца подчистили.
Прежде чем публиковать статью я у себя перепроверил работоспособность скриптов. В таком варианте как работало раньше, сейчас у меня не работает. Возможно, в других вариациях будет работать.
Какое у вас оформление почтового ящика, старое или новое?
Какое у вас оформление почтового ящика, старое или новое?
>Прежде чем публиковать статью я у себя перепроверил работоспособность скриптов
Прежде чем писать коммент Я у Себя проверил
>Какое у вас оформление почтового ящика, старое или новое?
А уже не важно ибо они пофиксили — уже не срабатывает ;)
ЗЫ:
Теперь в подписе к письму:
ВНИМАНИЕ!
Данное письмо содержит потенциально опасный HTML-код, заблокированный системой безопасности.
Возможно, оно отображается неправильно.
Прежде чем писать коммент Я у Себя проверил
>Какое у вас оформление почтового ящика, старое или новое?
А уже не важно ибо они пофиксили — уже не срабатывает ;)
ЗЫ:
Теперь в подписе к письму:
ВНИМАНИЕ!
Данное письмо содержит потенциально опасный HTML-код, заблокированный системой безопасности.
Возможно, оно отображается неправильно.
Скрипт-кидди в печали. Как же тогда хакать сайты, если все будут сначала сообщать об уязвимостях владельцам сайтов, а потом выкладывать инфу?
О!
Вы мне подали идею, как «найти» уязвимости на сайтах Гугла, Эппла и Майкрософта! Ждите на Хабре…
Вы мне подали идею, как «найти» уязвимости на сайтах Гугла, Эппла и Майкрософта! Ждите на Хабре…
1. Нашел уязвимость
2. Проверил
3. Отправил письмо администрации мэйл.ру
4. Дождался пока они закроют XSS
5. Опубликовал топик на хабре.
Вроде все логично!
2. Проверил
3. Отправил письмо администрации мэйл.ру
4. Дождался пока они закроют XSS
5. Опубликовал топик на хабре.
Вроде все логично!
Привык видеть такие заголовки на сайтах вроде Ачата, поэтому заходил сюда в ожидании чего-то невнятного.
Добро пожаловать на Хабр :).
Скажите, а если вам придет письмо от неизвестно отправителя и с темой «Крик о помощи», то вы его будете читать? А по ссылке из него перейдете? :)
Добро пожаловать на Хабр :).
Скажите, а если вам придет письмо от неизвестно отправителя и с темой «Крик о помощи», то вы его будете читать? А по ссылке из него перейдете? :)
Многие перейдут. Пароли крадут не у самых умных и осторожных.
Скажите, а если вам придет письмо от неизвестно отправителя и с темой «Крик о помощи», то вы его будете читать? А по ссылке из него перейдете? :)Конечно! Ведь если нигерийский принц в беде, то почему бы ему не помочь?
мне кажется, что этот топик еще одно напоминание о том, что надо более внимательно кодить сайты.
А раз такой авторитетный ресурс допустил эту ошибку, то очень вероятно, что какой-то из разработчиков, читающий хабр еще раз подумает о том, что он делает.
Мне кажется, что подобные топики будут полезны до тех пор, пока на серьезных ресурсах допускаются такого рода ошибки.
А пользователи разные бывают — социальных хакинг работает сейчас на ура.
А раз такой авторитетный ресурс допустил эту ошибку, то очень вероятно, что какой-то из разработчиков, читающий хабр еще раз подумает о том, что он делает.
Мне кажется, что подобные топики будут полезны до тех пор, пока на серьезных ресурсах допускаются такого рода ошибки.
А пользователи разные бывают — социальных хакинг работает сейчас на ура.
> авторитетный ресурс
Тонко подколол.
Тонко подколол.
Я бы ограничился определением «большой») «серьезный», «солидный», «авторитетный» и проч. — это, к сожалению, не про мылру. Новости и реклама на главной будут мои аргументом:)
я старался быть максимально толерантным чтоб не обидеть работников мейлру :)
Я думаю, что в mail.ru работают отличные ребята. В свое время меня туда звали, хотя дальше телефонного звонка с их HRом ничего не дошло — на тот момент у меня было предложение поинтереснее.
Уверен, что и проекты там ведутся интересные, и проблем много — а значит, есть над чем работать. Показательно, что несмотря на сильную конкуренцию со стороны Яндекса, Контакта, Одноклассников, Гугла и Фейсбука, Мейлру остается на плаву и не теряет своих позиций. Это уже что-то — посмотрите на тот же Рамблер.
Уверен, что и проекты там ведутся интересные, и проблем много — а значит, есть над чем работать. Показательно, что несмотря на сильную конкуренцию со стороны Яндекса, Контакта, Одноклассников, Гугла и Фейсбука, Мейлру остается на плаву и не теряет своих позиций. Это уже что-то — посмотрите на тот же Рамблер.
Честно говоря, если бы мне пришло письмо вроде
Спасибо, что пользуетесь нашим информационным сервисом InfoSec. Рады сообщить, что мы переехали на новый адрес и сменили дизайн! Оставайтесь с нами чтобы быть в курсе событий.я бы перешел по ссылке, прежде чем подумал, что это вообще такое.
Спасибо за пример. С прискорбием осознал, что тоже бы перешел (если, конечно, gmail раньше бы в спам не убрал).
Тостер.ру — теперь еще и блогосфера. Новые возможности для пользователей и читателей Хабрахабра. Предложение ограничено.
Я бы, возможно, ломанулся посмотреть )
Я только сейчас осознал недостаток моего и вашего примеров. Ссылка должна быть на названии компании, а не на «новый, клевый, блестящий, ПРЕДЛОЖЕНИЕ ОГРАНИЧЕНО!!!», это отдает разводом. Ниже для убедительности можно поставить столбиком такие же ссылки «Полный текст новости», «Главная страница», «О проекте».
А вы перед кликом по ссылке не читаете адрес в строке состояния браузера?
Ну так я не сам это придумал. Мне когда-то давно подобное письмо присылали, а на ссылки посмотреть я не догадался, пошел голосовать :)
Если кто-то ломает именно ваш ящик (а не просто сто тысяч ящиков на mail.ru, вдруг да где получится), то ему не составит труда отправить письмо от «доверенного» адреса. Узнать интересы, круг общения и работы, и контактные емейлы — дело несложное. (написал где-то в комментах что хостишься на каком-нибудь hosting.ru, скорее всего письмо от abuse@hosting.ru или support@hosting.ru прочитаешь).
Ну а уж отправить письмо с поддельным адресом в поле From: вообще не проблема.
Статья не о том как разжалобить читателя письма — это ведь просто пример. Был бы XSS, брешь в защите, а как заставить пользователя кликнуть по ссылке — это уж можно придумать :-)
Ну а уж отправить письмо с поддельным адресом в поле From: вообще не проблема.
Статья не о том как разжалобить читателя письма — это ведь просто пример. Был бы XSS, брешь в защите, а как заставить пользователя кликнуть по ссылке — это уж можно придумать :-)
Разве на современных сайтах (mail.ru в частности) не делают привязку cookies к ip-адресу? В таком случае от их кражи злоумышленнику было бы труднее ими воспользоваться.
mail.ru и современный сайт вообще не звучит. Вообще тут скорее речь должна идти об установке флага httpOnly для cookie.
НЛО прилетело и опубликовало эту надпись здесь
XSS позволяет, например, загрузить в невидимом iframe нужную страницу сайта с приватными данными, считать её содержимое (.innerHTML) и тут же отправить на сторону (форма с автосабмитом или же традиционная вставка <img>). Жертва даже ничего не почувствует.
«Ну, а так как я в последние пару дней вставлял свой «алерт» практически везде куда только можно было, рука рефлекторно потянулась к этой форме поиска»
Да, да, да, так мы вам и поверили)
Да, да, да, так мы вам и поверили)
В принципе банальная XSS, ничего нового для себя не вынес, могу так-же рассказать о подобных XSS на google.com/yandex.ru etc, но абсолютно не вижу в этом никакого смысла, так как про "<скрипт>алерт(xss)></скрипт>" пишут 99% сайтов той самой тематике.
0_о я бы почитал про XSS на google.com
Как, вы еще не в курсе?!
http://www.google.com/?q=javascript:alert(«This is a JavaScript ALERT box.»)
http://www.google.com/?q=javascript:alert(«This is a JavaScript ALERT box.»)
Уж извините, но статья на фейк очень смахивает, взяли основы XSS + нарисовали скрины mail.ru, вот что мешает то-же самое проделать с другим почтовиком и гордо сказать — я сообщил администрации о найденной уязвимости, по этому делюсь и с вами уже не актуальной информацией. Проверить статью ведь уже не получится на валидность уязвимости.
Дык дело в том, что Вы хоть сейчас это можете попробовать (:
так у вас претензия к статье или к тому, что она выбрана из песочницы? Мне лично просто интересно прочитать, а не судить о человеке, хотя признаю, что авторство дело темное, но не нам же судить.
А вы ожидали нотариально заверенных скриншотов?
Логи переписки автора с администрацией mail.ru вам, я так понимаю, тоже не подойдут, автор же может сам их сфабриковать.
Если отбросить в сторону иронию, вы, видимо, хотели самолично воспользоваться уязвимостью, но автор наткнулся на нее раньше вас и поступил как порядочный человек.
Логи переписки автора с администрацией mail.ru вам, я так понимаю, тоже не подойдут, автор же может сам их сфабриковать.
Если отбросить в сторону иронию, вы, видимо, хотели самолично воспользоваться уязвимостью, но автор наткнулся на нее раньше вас и поступил как порядочный человек.
Чёто они не доделали вроде. Скрипт работает и даже 2 раза =)
s2.ipicture.ru/Gallery/Viewfull/6044114.html
s2.ipicture.ru/Gallery/Viewfull/6044114.html
когда в следующий раз меня будут ругать за большое кол-во вкладок, я буду показывать ваш скриншот
самое грустное, что на достаточно большом количестве вкладок Хром начинает _иногда_ стабильно вылетать, и вкладки приходится закрывать, пока он не прогрузился полностью (и не вылетел, соответственно).
Когда вкладок много надписей на них не видно, видно либо только картинки, либо вообще ничего (когда фавиконы больше не помещаются) Поэтому, скажем, если открыто 100 страниц с одного сайта, приходится закрывать вкладки вслепую. А это чревато потерей чего-нибудь важного.
Когда вкладок много надписей на них не видно, видно либо только картинки, либо вообще ничего (когда фавиконы больше не помещаются) Поэтому, скажем, если открыто 100 страниц с одного сайта, приходится закрывать вкладки вслепую. А это чревато потерей чего-нибудь важного.
Видели бы вы мою лисичку) В последней статье про огненную лису я написал что у меня обычно до 70 вкладок) Хром у меня запасной браузер =)
Попробуйте Petromi — сделать скриншот быстрее, удобнее, да еще и без рекламы при показе
как удивителен этот мир. я бы никогда не нашел такую багу, потому что даже бы не предположил, что она вообще там может быть… это эпик фэйл, за такое нужно увольнять.
Если за баги в коде увольнять, то среднее время работы программиста в компании, что-то около 15 минут.
Даже ещё страшнее, все джуниоры просто не смогут устроиться впринципе.
НЛО прилетело и опубликовало эту надпись здесь
Если компания берёт джуниора, то оно:
а) готова к таким рискам, от того что джуниор чего то не знает.
б) готова обучать и пинать джуниора.
Если джуниор по истечении определённого времени по прежнему спотыкается на этом, то компания просто решила сэкономить :)
>Реалии жизни :) pt. 2 =)
а) готова к таким рискам, от того что джуниор чего то не знает.
б) готова обучать и пинать джуниора.
Если джуниор по истечении определённого времени по прежнему спотыкается на этом, то компания просто решила сэкономить :)
>Реалии жизни :) pt. 2 =)
чёткий MVC + view через XSLT вместо традиционных велосипедных шаблонизаторов и никакой головной боли
НЛО прилетело и опубликовало эту надпись здесь
Аналогично, у меня работает :)
i30.fastpic.ru/big/2011/0926/69/219619a4a8c6f617e809963fa164ac69.png
i30.fastpic.ru/big/2011/0926/69/219619a4a8c6f617e809963fa164ac69.png
XSS убрали в день обращения.
Остался баг, вызывающий alert сегодня его пофиксим.
XSS нет уже несколько дней, т.е. злоумышленник не может послать ссылку, которая украдет куку пользователя.
Остался баг, вызывающий alert сегодня его пофиксим.
XSS нет уже несколько дней, т.е. злоумышленник не может послать ссылку, которая украдет куку пользователя.
Я написал в тех.поддержку, чтобы ещё некоторые варианты почистили, так как можно, например, тупо загнать пользователя в цикл загрузки страниц (на личном опыте — окола 10 минут страница перегружалась). Это не так критично, но тем не менее, полагаю, что обладая более развитыми навыками JS (я — любитель), можно добиться более существенного вреда.
Спасибо, что залатываете (:
Спасибо, что залатываете (:
Меня больше удивляет то, что для разного поиска поиска (почта, мой мир, сайт) используются различные фильтры. Как-то логично, на мой взгляд. Что Вы, господа, думаете по этому поводу?
p.s. Сорри за оффтопик
p.s. Сорри за оффтопик
Все, закрыли лавочку)
Занятия идут впрок и участникам, и разработчикам, на которых участники пробуют свои знания :-)
Будем развиваться дальше. Интересно, где применят свои знания участники OISD после главы «сетевые атаки» :)
Будем развиваться дальше. Интересно, где применят свои знания участники OISD после главы «сетевые атаки» :)
ха-ха… а уменя воспроизводится:)
Все таки xss были и будут, хоть активки меньше находят сейчас. Извените, но (я как-то уже выкладывал в своем блоге рейтинг) mail.ru самая небезопасная почта.
Стоп. А какой браузер разрешил подгрузить скрипт с чужого сайта?
Я так понимаю куки сессии были не HttpOnly?
Я, несколько лет назад, нашел подобную уязвимость на сервисе дневников liveinternet вкупе с уязвимостью позволяющей сменить пароль не зная старого и ящик. В итоге можно было получить доступ к любому дневнику отправив ЛС автору, которое он должен был прочесть. Проверил что метод работает, сообщил лично владельцу, если не ошибаюсь, li.ru. Не сказали даже спасибо, в ответ получил только что-то вроде «пф, да это ерунда, а не уязвимость.», но дыры закрыли на следующий день. Мне показалось, что это тоже самое, что нищему дать монету, а он тебе спасибо не скажет, это ж всего лишь монета.
Практически всегда читая что-либо, будь то пост в блоге или письмо на почте сразу подмечаю интересующие меня ссылки и смотрю в статусе куда она ведет(ведь сам текст ссылки часто многое может о себе сказать: домен, формат файла, название статьи ну сами знаете — все что угодно да и программист всегда сможет понять что там можно увидеть) и если это какой-нибудь сервис коротких ссылок то уже подсознательно стараюсь игнорировать подобные ссылки(если не очень нужно то что она в себе несет, либо если не доверяю источнику). Лично мне проще навести на ссылку, посмотреть ее статус и подумать «стоит ли ее посещать?», чем открыть эту ссылку, посмотреть и подумать «стоило ли ее посещать?». Имхо первый вариант и быстрее и безопаснее.
А вы не пробовали наводить мышку над вкладкой и прочитать заголовок?)) У самого по 90 и более вкладок. Пользуюсь расширением сохранящим список открытых вкладок. Сохраняю все вкладки с каким-нить запоминающимся заголовком(чтобы вспомнить что же я тогда делал что наоткрывал кучу вкладок и небыло времени рассортировать их по избранному) и спокойно закрываю все до единой, чтобы дать продохнуть хромиуму.
alist Показательно, что несмотря на сильную конкуренцию со стороны Яндекса, Контакта, Одноклассников, Гугла и Фейсбука, Мейлру остается на плаву и не теряет своих позиций.Могу предположить, что так как Контакт и Одноклассники частично принадлежат Мейлру — это как-то оказывает влияние на такое развитие ситуации.
olegchir Когда вкладок много надписей на них не видно, видно либо только картинки, либо вообще ничего (когда фавиконы больше не помещаются) Поэтому, скажем, если открыто 100 страниц с одного сайта, приходится закрывать вкладки вслепую. А это чревато потерей чего-нибудь важного.
А вы не пробовали наводить мышку над вкладкой и прочитать заголовок?)) У самого по 90 и более вкладок. Пользуюсь расширением сохранящим список открытых вкладок. Сохраняю все вкладки с каким-нить запоминающимся заголовком(чтобы вспомнить что же я тогда делал что наоткрывал кучу вкладок и небыло времени рассортировать их по избранному) и спокойно закрываю все до единой, чтобы дать продохнуть хромиуму.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уводим чужие cookies c mail.ru