Как я взломал Хабрахабр

[evnuh]

Пешы еще!

[InCode]

Ты серьезно или просто так? А то я тут новенький, еще не понимаю, кто серьезно говорит, а кто в пустую…

[Dreddik]

Здесь всё тлен.
На самом деле, нет.

[UUSER]

>на Хабре был частым человеком и заходил сюда по своему аккаунту.
>я тут новенький
Шиза какая-то.

[InCode]

Частым в плане чтения новостей, но не обсуждения их. Я комментарии даже и не читал, так как и ответить не мог!

[GBA]

зря не читал.
Часто в комментариях больше информации, чем в самом топике.
Либо альтернативное решение задачи топика.

[zoo]

А зря, тут в комментах информации порой больше чем в посте

[Dreddik]

Особенно в этом? =))

[Bringoff]

Ну, в Вашем так точно…

[Dreddik]

Ну что вы так, я же про пост :)

[Suvitruf]

В некоторых статьях вся соль именно в комментариях)

p.s. впредь всегда буду обновлять страницу перед публикацией комментария

[Mulin]

Я вроде совсем не новенький, но все равно не всегда понимаю кто говорит серьезно, а на что реагировать нужно с иронией ;)

[torbasow]

Они сами этого не понимают, всё в порядке.

[ainu]

Если остановиться и подумать — всё обычно становится ясно. Обычно многие держут «в уме» последний абзац или соседний пост, или местный мем, или правила хабрахабра.
В данном случае вполне может иметь место сарказм, рассматривающий основную цель хабрахабра: «делиться знаниями». Вот данный пост мне знаний не прибавил, оттого и у меня тоже первая мысль: «зачем оно мне?».

[ainu]

Более подробнее в нижнем комментарии раскрывается мысль:
habrahabr.ru/post/197466/#comment_6847770
А если «держать в уме» вывод, который получается, если остановиться и подумать, а именно — в данном случае SelfXSS, то всё станет ещё яснее.

[Mulin]

Это вы сейчас серьезно, или иронизируете?))

[bob_lyashenko]

я тут новенький, еще не понимаю

LOL..)

[voff]

Ну XSS-уязвимость это не так уж и серьезно. Максимум спереть куку

[WEBIVAN]

А на хабре куки http-only, так что и их не сопрешь

[DarkByte]

Максимум спереть куку админа, максимум получить доступ в админку, максимум слить базу, максимум залить шёлл… Даже уязвимости класса «раскрытие информации» могут быть полезными.

[voff]

Не в этом случае. Тут даже ссылку на стрничку с xss дать невозможно.

[DarkByte]

Кажется я что-то не понял, а в чём тогда уязвимость? 0_о

[shsmad]

Ну так вся соль в этом — нет ее в таком виде, чтоб придумать как использовать на других пользователях.

[DarkByte]

Теперь уже понял, спасибо.

[hMartin]

XSRF, для обхода фильтрации по рефереру и токенам, да.

[BeLove]

Здесь SELF XSS, ничего не выйдет.

[hMartin]

Хабр нельзя открыть во фрейме. SAMEORIGIN

[Homakov]

зачем фрейм, если можно постить в target=_blank например.

[hMartin]

фрейм не так заметен)

[Homakov]

а пофиг заметен или нет, XSS то исполнится )

[voff]

К сожалению, политика безопасности браузеров такое не позволяет

[hMartin]

Если не передаются заголовки на запрет открытия сайта во фрейме(X-Frame-Options: SAMEORIGIN(DENY)), то все проворачивается на раз-два.

[zTrue]

Но POST запрос будет отправляться с другого домена только

[zTrue]

Разница в том, что это легко фильтруется по реферу

[hMartin]

Для защиты от XSS нужно фильтровать вводимые данные) Если есть на сайте xss, то токены не спасут :(
Данные можно передавать не только во фрейме, можно грубо автосабмитом формы с последующим перенаправлением и sameorigin не поможет.

[hMartin]

На своем сайте делаем форму с Post-dat'ой, и по онлоаду передаем форму на чужой скрипт. Не обязательно же делать тоже самое, но во фрейме. Фрейма нет, проверки реферера нет, данные переданы, SAMEORIGIN не помогает.

[hMartin]

Не все админы правильно формируют регулярки проверки реферера, если вы об этом, например, на хабре, изловчившись, можно было отправить запрос с похожего домена(сейчас fixed) и такое встречается часто.

[KawaiDesu]

К счастью*

[hMartin]

В хроме и ие уже стоят фильтры на XSS, осталось дождаться солидарной поддержки со стороны других и забудем о пассивках навсегда :)

[hMartin]

Это называется жаргон. Давно не следил за этой темой, но если я не ошибаюсь, то единственный «обход» — передаваемые данные уже внутри Js, остальные же извращения регулярно фиксят.

[Homakov]

зачем то заминусовали адекватный комент

[GBA]

одумался и отписался в техподдержку

Поевезло, что техподдержка на хабре адекватная.
А то бы вышло как с Фейсбуком )

[InCode]

Мне много не надо, мне инвайта хватит…

[zTrue]

Переименуйте в «Как я НЕ взломал Хабр, а написал в техподдержку»

[zTrue]

И перенесите в «Я пиарюсь» еще до кучи

[BeLove]

Ок) Ломаем Хабр, 6 раз подряд

[Flex25]

> Сначала я решил сделать какое-нибудь черное дело через уязвимость

Я что-то не пойму, что вообще можно сделать через эту уязвимость? Приведите пример, как ее можно эксплуатировать?

[zTrue]

никак, поэтому и написал

[shanker]

Уязвимость нельзя эксплуатировать — поэтому написали в саппорт? Иначе бы реально кого-то взломали? Так нужно трактовать Ваш краткий ответ?

[zTrue]

Вы все верно поняли, только «написал» — «автор написал в саппорт»

[Abcd_Efgh]

Вывести себе алерт, например.

[oshibka404]

А по-моему, самое замечательное оформление сарказма — это без тегов, смайликов, спойлеров и всего остального.
Просто если сарказм хороший, его и так поймут, а если не поймут — значит, плохой.

[Nordvind]

Хороший = народный, понятный всем и каждому?

[oshibka404]

Вообще, да. Юмор, ирония и сарказм должны быть понятны аудитории. Иначе зачем они нужны?
А клеить тег <sarcasm> — это так же тупо, как объяснять анекдоты. Если сарказм непонятен, и это очевидно даже автору — лучше бы его не было совсем (<joke>сарказма, а не автора</joke>).

[Badevlad]

Лучшая шутка та, которую поняли не все.

Английская пословица

Но блеснуть на Хабре тонким английским юмором без последствий вряд ли получится. Непонявшие заминусуют )

[oshibka404]

По-моему, юмор на этом и строится — на ощущении «Не понял… не понял… А! Понял! Хахаха!».
И чем дольше и напряженнее это «Не понял», тем шутка лучше и тоньше. Самое трудное — это найти баланс, чтобы было понятно не сразу, но в итоге, всё-таки, понятно.

[zag2art]

Первым делом осваивайте habracut

[SDSWanderer]

Желтизна в заголовке!)

[hMartin]

Пассивная XSS, серьезно? С учетом того, что хром, опера, ие явно фильтруют любую пассивную инъекцию(с некоторыми оговорками).
Я тоже, кстати, подобным образом инвайт получил, но там было немного интереснее :)

[titulusdesiderio]

Так поделитесь же!

[Semisonic]

Пост, достойный 1337 haxxor'а =).

[d00kie]

Self-XSS )

[tangro]

Отличная программа поощрения поиска багов от Хабра. Нашел баг — отписался в техподдержку — получил инвайт. Объявили бы об этом официально.

[entaure]

Такой заголовок… Я удивлен как ещё о нём не сказали в новостях.

[Fed_Mikron]

Как мало человеку нужно для счастья.

[Nordvind]

Перенесите в блог «Информационная безопасность», пусть держит уровень!

[deseven]

У меня тоже есть история!

Не имел я несколько дней назад инвайта, но на Хабре был частым человеком и заходил сюда со своего калькулятора.

Несколько дней назад я нажал на «Хабрахабр», вместо «Вконтакте» и увидел перед собой Хабрахабр. «А вдруг?» — подумал я — и начал вводить какие-то буквы в каждое поле.

И вот оно! Свершилось! Уязвимость была обнаружена в адресной строке браузера. Буквы проверялись на правильность после перехода на следующее поле. В поле ввода url'а не было фильтрации, по этому сообщение с единичкой появилось.

Сначала я решил сделать какое-нибудь черное дело через уязвимость, но потом одумался и отписался в техподдержку.

Было

Стало

[wiygn]

Жесть какая, куда только эти разработчики смотрят? Такую дырищу оставить на самом видном месте. После этого не пользуюсь браузерами.

[prefrontalCortex]

«Зачем мне Chrome и Firefox, я юзаю wget.
Я ведь не браузер смотрю, а интернет.»

[stan_jeremy]

я думаю стоит доверять только курлу

[elibri]

Спс, посмеялся от души!

[betal]

Когда то давно получил инвайт за найденный на нестандартном порту бэкэнд, в котором не блокировались запросы к папке .svn, в которой лежали исходники, в т.ч. всякие пароли…
Я ни разу не афишировал это, а тут странный XSS, которой очень сложно использовать.
Я не знаю есть ли смысл ставить куку в .habrahabr.ru, поддоменов вроде бы уже нет.

[wiygn]

Самое время вспомнить про Эффект Даннинга — Крюгера

[betal]

Принципы не позволяют выкладывать какие — то умные способы обхода в публичный доступ, есть другая работа, кроме как отлавливать юных хакеров из логов. Скорее хочется наоборот продвигать безопасность систем, а не способы компрометации.

[waphyld]

«Я ни разу не афишировал это» = false

[RuslanZavackiy]

пост написан в 13:37 :) совпадение или автор старался попасть именно в этом время? )

[stan_jeremy]

Are you ***** kidding me? :D

«Взломал Хабр», «постовый script alert» = инвайт на хабр?)) требую себе второй! :D

[berman]

Сначала я решил сделать какое-нибудь черное дело через уязвимость, но потом одумался и отписался в техподдержку.

Какое-такое черное дело? Попросить админа ввести код вредноносного скрипта в поле email?

Кстати, на руках есть активка на ICQ.com, стоит рассказать Хабру о ней? В техподдержку майлру писал, меня попросили прислать скрины ошибки, и ничего не пофиксили.

[BeLove]

Есть bugscollector.com x)

[berman]

Вы молодец, хороший сайт, хоть и требует доработки.
Вот мой каммит в виде актуального контента.

bugscollector.com/db/icq.com/57/
(активная xss на icq.com)

[hMartin]

Нет, это не активная XSS, это пассивная.

[berman]

На самом деле у меня их две: активная и пассивная, и я случайно запостил пассивную под именем активной. Настоящую активку запостю позже, но вы дело говорите!

[evildoer]

habrahabr.ru/users/InCode
Аффтар(tm) в Read-only.

К успеху так пришёл. (-: