Комментарии 69
серьёзно
Уже не аллё.
Утка или за 30 минут поправили?
Утка или за 30 минут поправили?
О! Шушпанчик! Работает!
Видимо уже поправили.
Хотя слабо верится с таким простым запросом…
Помню только один XSS, который был при проверке роботс.тхт
Хотя слабо верится с таким простым запросом…
Помню только один XSS, который был при проверке роботс.тхт
Кто без дырок. Я сам нашел одну на bs.yandex.ru (рекламный хост) ;)
К сожалению, сообщил в саппорт.
эх, былое, былое... как я был наивен...
К сожалению, сообщил в саппорт.
эх, былое, былое... как я был наивен...
НЛО прилетело и опубликовало эту надпись здесь
У меня работает... Интересно, что ответит "Яндекс"...
Не работает. NoScript не дремлет :)
НЛО прилетело и опубликовало эту надпись здесь
ничего особого, на яндексе xss немало.
оповещал саппорт по трем xss в разных сервисах(блоги, карта, шоп) гдето в середине октября 2007, 24.10.07 пришел ответ:
Здравствуйте!
Большое спасибо за информацию, я передам ее разработчикам.
--
С уважением, Тимофей Журавлев
Служба поддержки Яндекс.Ру
http://help.yandex.ru/
на настоящее время две XSS так и работают...
оповещал саппорт по трем xss в разных сервисах(блоги, карта, шоп) гдето в середине октября 2007, 24.10.07 пришел ответ:
Здравствуйте!
Большое спасибо за информацию, я передам ее разработчикам.
--
С уважением, Тимофей Журавлев
Служба поддержки Яндекс.Ру
http://help.yandex.ru/
на настоящее время две XSS так и работают...
чтобы не быть голословным:
http://market.yandex.ru/model.xml?hid=90…';alert('XSS');//
и таких багов на данный момент там много.
http://market.yandex.ru/model.xml?hid=90…';alert('XSS');//
и таких багов на данный момент там много.
+ ещё такая же:
hxxp://help.yandex.ru/partner/?id=996706&a='+eval('alert(1)')+'
заходим и кликаем на линк "войти" в верхнем правом углу :)
hxxp://help.yandex.ru/partner/?id=996706&a='+eval('alert(1)')+'
заходим и кликаем на линк "войти" в верхнем правом углу :)
НЛО прилетело и опубликовало эту надпись здесь
у меня все работает. офигеть =)
ну и что? XSS неопасный какой-то) Приведите пример опасного XSS!
ага, страшного, который венду убивает:)
http://habrahabr.ru/blog/infosecurity/34…
Да нет, всего-лишь украдут ваш аккаут и Я.Кошелек на котором все ваши сбережения :)
Да нет, всего-лишь украдут ваш аккаут и Я.Кошелек на котором все ваши сбережения :)
Через XSS можно куки получить, и, если вы были залогированны на сайте...
Слышали когда-нибудь про подмену сессии?
Слышали когда-нибудь про подмену сессии?
А в чём физическая угроза такого бага для ресурса? В браузере пользователя выполняется его-же javascript-код. Ну если хотя-бы не нужно было открывать расширенный поиск, а всплывающее диалоговое окошко выскакивало сразу - тогда ещё понятно - нехороший человек мог бы давать ссылку на ресурс, переходя по которой я видел бы окошко с какой-нибудь гадостью, или ложной информацией. А так... Объясните в чём собака зарыта.
А ничего страшного в этом нет.
Ну подумаешь, хакер куку уведет, по которой происходит авторизация юзера...
Ну в директе перерасход бабала организует, ну почтовый ящик уведет.
Это же все ерунда... Не страшно...
Ну подумаешь, хакер куку уведет, по которой происходит авторизация юзера...
Ну в директе перерасход бабала организует, ну почтовый ящик уведет.
Это же все ерунда... Не страшно...
Но для этого-же надо перейти по кнопке "расширенный поиск". Ожидать что адекватный пользователь захочет нажать расширенный поиск видя в окне поиска javascript-код, а не слово "колбаса" к примеру, мне кажется наивным. То что дыра в заборе есть это очевидно, но только расположена она на уровне второго этажа. Может поэтому и не спешат затыкать.
Посмотрите выше, там есть серьезнее баги, которые даже нажатия на "Расширенный поиск" не требуют.
Задал не праздный вопрос, который интересует многих, зиминусовали до смерти. Про последствия (хакер куку уведет, по которой происходит авторизация юзера...
Ну в директе перерасход бабала организует, ну почтовый ящик уведет.
) про которые написал IlVin выше как-раз не было. Про другие баги почитал, один код даже доработал (см. выше) =)
Ну в директе перерасход бабала организует, ну почтовый ящик уведет.
) про которые написал IlVin выше как-раз не было. Про другие баги почитал, один код даже доработал (см. выше) =)
А у нас цель не эксплуатировать дырку, а научить Яндекс таких дырок не делать. Вот для нас эта дырка очевидна. И ее последствия тоже очевидны. А для разработчиков и тестеров Яндекса не очевидна. Так давайте шуметь вокруг этих дырок на втором этаже, чтобы они не допустили таких же дырок в подвале :)
вот, к примеру, миллион долларов за дыркой лежит - не полезете? (к тому, что плохая аналогия)
Помимо уведения конфиденциальной информации, можно воспользоваться какой-либо уязвимостью браузера. Если у жертвы ИЕ 6.0, то - большой простор для деятельности.
Судя по развитию комментов в данном топике через пару часов тут уже ломанут яндекс, и возьмутся за гугл :) . А вообще, sunnybear, вам "решпект" за то что сообщили о дырке, а не просто утаили, или например попробовали воспользоватся, или хуже - кому то продать инфу о ней.
10:49 - Еще работает)))
2 sunnybear:
некрасиво поступаете, Андрей публиковал эту информацию с несколько иными целями
некрасиво поступаете, Андрей публиковал эту информацию с несколько иными целями
по поводу "нехорошо" может быть много разных мнений.
Здесь я доношу до общественности то, что может быть до нее донесено. Чем больше будет общественный резонанс, тем быстрее ситуация будет исправлена (по крайней мере, эти вещи коррелируют). Возможно, Андрей, не этого хотел своим письмом. Но если бы он этого не хотел, то прямо бы написал об этом.
Здесь я доношу до общественности то, что может быть до нее донесено. Чем больше будет общественный резонанс, тем быстрее ситуация будет исправлена (по крайней мере, эти вещи коррелируют). Возможно, Андрей, не этого хотел своим письмом. Но если бы он этого не хотел, то прямо бы написал об этом.
Дело в том, что информация была опубликована на закрытом листе, и вы нарушили правило распространения информации (3.1).
При этом, судя по вашему профилю, вы себе эту "заметку" уже внесли в список "О себе", не указав на источник/автора. Некрасиво.
При этом, судя по вашему профилю, вы себе эту "заметку" уже внесли в список "О себе", не указав на источник/автора. Некрасиво.
Да, наверное, уже давно кто-то преспокойно собирает куки, ибо пользователей яндекса в рунете хватает. Вопрос-то в другом! Почему разработчики так пофигистически относятся к волонтерам, которые сообщают им о весьма существенный ошибках? Почему такие тормоза? Неужели нужна широченная огласка в сети, чтобы они заметили ошибку? Помню был вариант xss на mail.ru. Там передавалась строка с количеством входящих писем: можно было подставить алерт с отсылкой куков и жить себе преспокойно. Вот только прикрыли эту дырку моментально.
До сих пор работает. Я в шоке!
Я не вижу ничего особо опасного в данной XSS. Эта XSS является пассивной, даже дважды пассивной. Т.е. мы должны заставить юзера перейти по этой ссылке, потом на открывшейся странице заставить нажать его еще одну ссылку. Сомневаюсь, что при проведении атаки найдется хоть один нормальный человек, который это сделает и ничего не заподозрит. Пассивных XSS на Яндексе хватает. Более опасными являются активные XSS, но если на Яндексе они и есть, то находятся строго в "привате".
Что касается заявлений о том, что Яндекс не заботится о своей безопасности и не закрывает дыры — я скажу, что это не совсем так. Пару месяцев назад на Яндексе была такая бага, которая позволяла регистрировать неограниченное число аккаунтов в обход каптчи, за счет перехода сразу на второй шаг регистрации. После уведомления об этом саппорта по e-mail, бага была закрыта менее чем за 24 часа. Деньги за найденные баги они не платят — просто пишут в ответ письмо с благодарностью.
Что касается заявлений о том, что Яндекс не заботится о своей безопасности и не закрывает дыры — я скажу, что это не совсем так. Пару месяцев назад на Яндексе была такая бага, которая позволяла регистрировать неограниченное число аккаунтов в обход каптчи, за счет перехода сразу на второй шаг регистрации. После уведомления об этом саппорта по e-mail, бага была закрыта менее чем за 24 часа. Деньги за найденные баги они не платят — просто пишут в ответ письмо с благодарностью.
НЛО прилетело и опубликовало эту надпись здесь
прикрыли
не успел насладиться...
Прикрыли, зато от Stepanow еще работает...
Прикрыли и теперь пишут: XSS и Не входить.
Если еще хоть кто-то начнет тему "firefox небезопасен" - пусть попробуют походить по всем этим xss-сайтам с firefox + NoScript.
Ага, просто пассивная XSS, которая ничего не делает, вставка html-кода в уязвимый скрипт и все. Еще можно без всякого вреда помглумиться над гуглом и мсн:
http://www.google.com/url?q=http://www.ya.ru
http://search.live.com/act2.aspx?q=49&b=1&url=http://www.yandex.ru
http://www.google.com/url?q=http://www.ya.ru
http://search.live.com/act2.aspx?q=49&b=1&url=http://www.yandex.ru
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
XSS на Яндексе