Комментарии 62
Боюсь, если бы вы написали это еще в мае 2009, вероятно вас бы вынесло НЛО с хабра.
А так, очень интересная история.
А так, очень интересная история.
Спасибо, но и на данный момент пост скорее унес, чем принес :)
И НЛО было бы не право. Если разработчик не просматривает сообщения об ошибках и уязвимостях, это его вина.
Согласен с вами. Это я чисто логически мыслю, судя по политике ресурса.
Это закрытая и больная тема, поэтому ее особо здесь не «помусолишь».
Это закрытая и больная тема, поэтому ее особо здесь не «помусолишь».
а скажите, время на рассмотрение жалобы разрабам дать надо? Автор же начал гадить уже после обеда — дня не прошло! По хорошему, хотя бы несколько дней надо было дать!
Видимо, я невнимательно читал (спросонья, наверное). У меня почему-то сложилось впечатление, что история развивалась на протяжении пары недель. =)
«На рассмотрение жалобы»? Ну да, комиссию пусть соберут, посовещаются, решат что же делать и насколько это опасно, назначат ответственного, подготовят пресс-релиз… закрыть JS в профиле — это ж проблема-то какая, неожиданная и сложноустранимая, а неоднозначная какая.
Утром зарелизили новую кадабру, должны были сидеть с ушками на макушках. Днем я нашел косяк, воспользовался специальной формой, дал час-два на раскачку — по-моему всего этого более чем достаточно, реакции никакой. Я полез вглубь.
Утром зарелизили новую кадабру, должны были сидеть с ушками на макушках. Днем я нашел косяк, воспользовался специальной формой, дал час-два на раскачку — по-моему всего этого более чем достаточно, реакции никакой. Я полез вглубь.
возможно, вы ведущий разработчик и знаете больше меня (я не разраб), но два часа на ликвидацию бреши — это маловато, по-моему. Вообще, неплохо было бы поинтересоваться у общественности, что они об этом думают. Сделаете голосовалку?
Я просто ссылался на информацию о закрытии брешей уязвимости в различных программных продуктах. Даже с учётом свежего перезапуска проекта меньше суток — это слишком мало. Такое впечатление, что у вас свербило.
Я просто ссылался на информацию о закрытии брешей уязвимости в различных программных продуктах. Даже с учётом свежего перезапуска проекта меньше суток — это слишком мало. Такое впечатление, что у вас свербило.
Я бы согласился, если бы разговор шел об автообновляемом приложении, к которому нужно патч написать, да разослать всем. Или если бы разговор шел о просто сайте, который просто работает, и у людей есть свои какие-то задачи. Но после запуска нового проекта не отреагировать за пару часов на достаточно серьезную уязвимость, на которую и реагировать-то не сложно — это именно промах. Причем, очевидно, что промах именно во внимании к письмам об уязвимостях. И я скажу даже больше, ведь автокадабру писали не с нуля, а в старой кадабре или на хабре эта проблема успешно решена, т. е. по-хорошему вообще попросту недоглядели.
Опрос можете сами сделать, только ситуацию поконкретнее опишите.
Ну а свербило — да, было очень интересно.
Опрос можете сами сделать, только ситуацию поконкретнее опишите.
Ну а свербило — да, было очень интересно.
Аналогичная уязвимость была на «Станции 2.0». Перехватил несколько сессий, потом сообщил администрации. Ситуация была воспринята с юмором, дыру закрыли.
Вообще, XSS — штука не такая уж и безобидная (например, XSS может превратиться в CSRF).
Вообще, XSS — штука не такая уж и безобидная (например, XSS может превратиться в CSRF).
У меня была тоже похожая ситуация (sql_injection)
interplus.ua/ua/forum/login/
Писал в саппорт — ноль на массу. Обидно даже, хотел помочь а они не замечают. Дыра висит уже несколько лет. Так же как и автор ничего не трогал, просто зашел и обрадовался.
id редактора — 3
interplus.ua/ua/forum/login/
Писал в саппорт — ноль на массу. Обидно даже, хотел помочь а они не замечают. Дыра висит уже несколько лет. Так же как и автор ничего не трогал, просто зашел и обрадовался.
id редактора — 3
Может я подзабыл о SQL инъекциях, но доступа никакого не даёт — лишь выводит ошибку «Internal Server Error».
видимо подзабыли.
Подсказываю.
… OR id=3…
Дальше сами. пароль любой.
Подсказываю.
… OR id=3…
Дальше сами. пароль любой.
panas, Nataliya, ага.
Надо бы свои старые проекты проверить — чем черт не шутит…
Надо бы свои старые проекты проверить — чем черт не шутит…
Ну, про AVP ты все-таки загнул. Он, конечно, крут, но всё-таки не настолько, чтобы написать тысячи постов.
Помню еще историю с тем, как кто-то накручивал НЕ себе карму, вешая «картинки» с адресами голосования.
Помню еще историю с тем, как кто-то накручивал НЕ себе карму, вешая «картинки» с адресами голосования.
кадабра очень даже популярный ресурс
Автокадабра. Хэх. Хороший был сайт. aLexusPro я крослинк поставил на кадабре на этот пост.
Знакомые все лица :)
Точно помню, еще год назад на кадабре уже была какая-то муть с PHPSESSID, кажется тогда решили что это параноя и трудно реализуемо. И да — всем привет ;)
Надо было развить ситуацию до состояния «доступ по ssh» и самому поправить багу.
Вот это была бы история, а то через саппорт несолидно :)
Вот это была бы история, а то через саппорт несолидно :)
кто считает, что в хорошо упакованном на деньги лоха-инвестора офисе модного стартапа кому-то интересно читать обращения в саппорт, вместо того, чтобы продуктивно обсуждать гениальные идеи будущего, опустошать кофе-машину, играть в пинг-понг или плейстейшен или креативно самовыражаться — поднимите руки
убила фраза: «А главное — я ж не хацкер, но даже я провернул всё это без труда!»
и кто ты после этого? балерина?
и кто ты после этого? балерина?
НЛО прилетело и опубликовало эту надпись здесь
Он то мог бы и дать время, как мне кажется.
Но не факт что он один бы до этого додумался с неизвестно какими последствиями…
Но не факт что он один бы до этого додумался с неизвестно какими последствиями…
Большие конторы — как динозавры. Пока по шарам лопатой не заедешь, не реагируют. А уязвимость действительно критическая и кто-нибудь другой может оказаться не таким «добрым». Надо тормозить сайт, отключать уязвимый функционал и чинить.
НЛО прилетело и опубликовало эту надпись здесь
Поэтому да — лучше сразу по шарам лопатой, все повайпать, везде напакостить. Авось в следующий раз быстрее реагировать будут.
Еще в сенятбре прошлого года на одном из проектов здесь отрекламированных нашли подобную багу с исполнением js и прочими фичами. В феврале об этой баге узнал я и еще чертова гибель человек. Вот после этого ее пофиксили за 3 дня, до этого 4 месяца лень было.
Еще в сенятбре прошлого года на одном из проектов здесь отрекламированных нашли подобную багу с исполнением js и прочими фичами. В феврале об этой баге узнал я и еще чертова гибель человек. Вот после этого ее пофиксили за 3 дня, до этого 4 месяца лень было.
Есть у кого инвайт на Кадабру?
Да закрыли уже ту уязвимость, закрыли! Год уже почти прошел, успокойтесь ;-))
Кстати еще не так давно инвайтов не было, опять же подтянулось несколько человек которые все испортили, вот теперь там инвайты есть. А по-скольку механика там почти как на хабре, логично было бы инвайты еще очень давно ввести. Хотя да, аудитория там в разы меньше.
почту бросьте в личку, я дам вам инвайт
Пару дней назад написал сервис, который проверяет наличие XSS уязвимостей на сайте. Сейчас тестирую на известных сайтах. О найшенных дырах сообщаю разработчикам. Чаще всего мои письма просто игнорируют, очень редко отвечают «спасибо». Чуть более часто получаю что-то вроде этого
Вот так у них (да и у нас) относятся к безопасности…
If you can't be more specific, we can't be bothered to care. Your email sounds suspiciously like unsolicited commercial email (spam) and has been reported to google as such. Have fun peddling your scareware someplace else :)
Вот так у них (да и у нас) относятся к безопасности…
я уже почти не читал кадабру тогда. Это когда у блондинко рейтинг стал расти до небес, или я что-то путаю? :)
а вообще, старая кадабра — с Блондинко и Петровичсем — лучше была :)
а вообще, старая кадабра — с Блондинко и Петровичсем — лучше была :)
Пользуясь случаем передаю привет с лфс.ру :)
а я вот как-то нашел xss на башорге. только после этого ступил и вместо написания админам написал в жж-комьюнити. закрыли таки за полчаса.
Еще сутки назад я думал, что получить +249 может разве что Бумбурум, да и тому надо постараться. После публикации долго сидел на стреме и ждал, что если карма упадет на -3 или пост до -5, то закрою всё это.
А сейчас просто поражен откликом.
Всем спасибо!
А сейчас просто поражен откликом.
Всем спасибо!
А что самое клевое — 3х людей, нашедших, баг на хабре просто забанили и еще сказали, что при встрече набьют лицо. Вот такие создатели. Я тут понимаю Йована.
Я около тысячи лет назад писал в поддержку хабра.
Несколько дней назад косяк был, если пока читаешь топик период голосования истекает, при нажатии на стрелочки/прочерк вылазит сообщение об ошибке голосования. А чтобы узнать, чисто из любопытства, сколько за топик наголосовано, нужно страницу перезагружать. Мелочь, а не приятно.
Еще был косяк, в результатах поиска были стрелочки голосования, но они не голосовались. Тоже долго не фиксили, сказали, что их вообще не должно быть там, уберут мол. Сейчас проверил — они работают.
Несколько дней назад косяк был, если пока читаешь топик период голосования истекает, при нажатии на стрелочки/прочерк вылазит сообщение об ошибке голосования. А чтобы узнать, чисто из любопытства, сколько за топик наголосовано, нужно страницу перезагружать. Мелочь, а не приятно.
Еще был косяк, в результатах поиска были стрелочки голосования, но они не голосовались. Тоже долго не фиксили, сказали, что их вообще не должно быть там, уберут мол. Сейчас проверил — они работают.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Про хакеров, кадабру и ТМ