Комментарии 15
И на старуху бывает проруха
Вот и я бы хотел найти уязвимость в широком списке популярных сайтов. Но почему-то меня останавливает лень и мысль что там очень строго за этим следят. Однако похоже, что такими темпами уязвимости на популярных сайтах быстро закончатся)).
Вознаграждение за дыры Google Security Team предоставили?
Вознаграждение за дыры Google Security Team предоставили?
Кстати, если кто не в курсе, Гитхаб объявил охоту на баги за вознаграждение.
Вы — молодец! Очень круто!
Егор, без обид — вот кто Security Researcher :)
Chikey
Chikey
Блин, я когда оригинальную статью читал мало что понял, а теперь то еще хуже :) Это же не сам paul axe переводил? Вопросы допустим у меня такие
> Поэтому я использовал страницу на developers.google.com с функцией Callback
имеется ввиду site.com/?call=alert вызовет alert(...) да? Что же в ней безопасного? Это же простейший CSRF через чужое окно типа parent.other_frame.some_form.submit(...)
Впрочим прямого XSS я незнаю пока как создать. На многих oauth колбэк страничках такой баг например linkedin. я могу вызвать любую функцию но с неконтролируемыми аргументами.
в чем суть Reverse clickjacking а? как раз такие parent.somelink.click()?
Первый баг если я не ошибаюсь self xss, тоесть не эксплуатируемый.
> Поэтому я использовал страницу на developers.google.com с функцией Callback
имеется ввиду site.com/?call=alert вызовет alert(...) да? Что же в ней безопасного? Это же простейший CSRF через чужое окно типа parent.other_frame.some_form.submit(...)
Впрочим прямого XSS я незнаю пока как создать. На многих oauth колбэк страничках такой баг например linkedin. я могу вызвать любую функцию но с неконтролируемыми аргументами.
в чем суть Reverse clickjacking а? как раз такие parent.somelink.click()?
Первый баг если я не ошибаюсь self xss, тоесть не эксплуатируемый.
Вы будете удивлены, но именно сам Paul Axe это и переводил. Жаль что вы не поняли, про английскую версию Paul Axe слышал отзывы, что всё понятно расписано. На русском, возможно, хуже получилось, следовательно ему есть над чем поработать.
По поводу вопросов:
1. Я тоже не понимаю почему разработчики считают, что возможность контролирования вызываемой функции без возможности изменять параметры безопасна. Я не считаю это безопасным. По поводу как сделать из этого XSS — метод как раз описан в этой статье (оно же Reverse Clickjacking).
2. Не назвал бы это Self XSS. Если фид поддерживает комментарии, то ссылку можно оставить в комментариях. Или же если есть возможность влиять на источник фида, что тоже вполне реально, ибо почти все поддерживают комментарии. По крайней у Google Security Team не возникло сомнений в том что это Self XSS.
По поводу вопросов:
1. Я тоже не понимаю почему разработчики считают, что возможность контролирования вызываемой функции без возможности изменять параметры безопасна. Я не считаю это безопасным. По поводу как сделать из этого XSS — метод как раз описан в этой статье (оно же Reverse Clickjacking).
2. Не назвал бы это Self XSS. Если фид поддерживает комментарии, то ссылку можно оставить в комментариях. Или же если есть возможность влиять на источник фида, что тоже вполне реально, ибо почти все поддерживают комментарии. По крайней у Google Security Team не возникло сомнений в том что это Self XSS.
1 в статье случай специфичный, мало кто найдет javascript: ссылку
2 теперь понял, он же по всем ссылкам фида ходит.
2 теперь понял, он же по всем ссылкам фида ходит.
Да, специфичный, но суть в том, каким образом я избавился от необходимости взаимодействия с пользователем.
Ага круто. Теперь понял что имел ввиду под реверс кликджекингом.
Но я бы выкинул это в отдельный термин «arbitrary method call». Как я уже говорил если невозможно создать js ссылку (что уже само по себе XSS) можно делать form.submit().
Но я бы выкинул это в отдельный термин «arbitrary method call». Как я уже говорил если невозможно создать js ссылку (что уже само по себе XSS) можно делать form.submit().
Термин был придуман не мной, а Google Security Team.
Подробнее: www.its.fh-muenster.de/owasp-appseceu13/rooms/Aussichtsreich_+_Freiraum/high_quality/OWASP-AppsecEU13-EduardoVela-Matryoshka_720p.mp4
Подробнее: www.its.fh-muenster.de/owasp-appseceu13/rooms/Aussichtsreich_+_Freiraum/high_quality/OWASP-AppsecEU13-EduardoVela-Matryoshka_720p.mp4
>в чем суть Reverse clickjacking а? как раз такие parent.somelink.click()?
Насколько я понял особенность в том, что была создана ссылка с javascript:eval('/*ну вы поняли о чем я*/');
А вместо колбак функции было вызвано parent. та самя созданная ссылка .click(); Аргументы тут никакой роли не играют, происходит клик.
Насколько я понял особенность в том, что была создана ссылка с javascript:eval('/*ну вы поняли о чем я*/');
А вместо колбак функции было вызвано parent. та самя созданная ссылка .click(); Аргументы тут никакой роли не играют, происходит клик.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Две истории об уязвимостях в сервисах Google