Комментарии 33
Ну по такому описанию сложно сделать выводы. Я не совсем понял в какой момент отрабатывает скрипт. После нажатия кнопки «Перевести»? (у меня просто нету яндекс-аккаунта, а здесь после повторения Ваших операций требуется авторизация).
Но могу предположить следующее. Если поле «К оплате» может воспринимать данные из GET/POST запросов, то можно использовать это против других пользователей.
Но могу предположить следующее. Если поле «К оплате» может воспринимать данные из GET/POST запросов, то можно использовать это против других пользователей.
Пипец у Вас cookie грязые. Вы их не моете что ли? о_О
Спасибо хоть сказали?
Да, но сказали, что было бы ещё лучше, еслиб я не постил эту историю на Хабре. Из-за того, что это может привлечь к поиску уязвимостей таких же скриптикиддисов как я и они совершат какое-нибудь непотребство.
Серьёзно? Вам такое Яндекс написал?
Наверное, это был какой-то далёкий от разработки человек…
Наверное, это был какой-то далёкий от разработки человек…
Не совсем в той форме, что я написал — но суть такая.
Нехорошо, что на Хабре опубликовали? А то, что они там штаны просиживают и даром хлеб едят, допуская такие вот ошибки — это по ихнему хорошо?
А Вы сделайте скриншот этого письма представителя Яндекса (с его ФИО и должностью как он там подписался) и приаттачте к статье. Может, кто из представителей Яндекса это увидит и проведут с ним разъяснительные мероприятия. И тогда он перестанет пальчики свои растопыривать. Можно даже в тегах к статье указать его ФИО, если совсем уж не жалко дяденьку :)
А Вы сделайте скриншот этого письма представителя Яндекса (с его ФИО и должностью как он там подписался) и приаттачте к статье. Может, кто из представителей Яндекса это увидит и проведут с ним разъяснительные мероприятия. И тогда он перестанет пальчики свои растопыривать. Можно даже в тегах к статье указать его ФИО, если совсем уж не жалко дяденьку :)
Это не мои методы.
Случайно нашёл уязвимость, рассказал о ней, ещё и пост на Хабр написал — столько поводов для гордости. Тем более в своём первом запросе в суппорт, я спросил из вежливости могу ли я опубликовать пост про это. Видимо суппорт почуял мою слабость и решил выжать из этого максимум профита.
Уязвимость закрыта, меня полагодарили, пост на главной Хабра — о чём ещё можно мечтать? :)
Случайно нашёл уязвимость, рассказал о ней, ещё и пост на Хабр написал — столько поводов для гордости. Тем более в своём первом запросе в суппорт, я спросил из вежливости могу ли я опубликовать пост про это. Видимо суппорт почуял мою слабость и решил выжать из этого максимум профита.
Уязвимость закрыта, меня полагодарили, пост на главной Хабра — о чём ещё можно мечтать? :)
Текущий мир очень сложный. Вы можете не допустить своих ошибок, но анализировать весь код и все изменения своих партнеров или просто людей чей код вы тянете на свой сайт, в принципе возможно, но цена будет огромная, и ваш проект не выдержит конкуренции.
Позиция не привлекать лишнего внимания, она, в целом правильная и не надо говорить людям что они даром хлеб едят. В яндексе не такие большие зарплаты, и те кто работает там, действительно любят свою работу и хотят ее делать хорошо.
И да, я никогда не работал в яндексе, на данный момент не собираюсь там работать (у меня нет предложений о работе или контракте с яндексом) и я не владею в данный момент их акциями (владел, признаюсь, но сугубо в спекулятивных целях).
Позиция не привлекать лишнего внимания, она, в целом правильная и не надо говорить людям что они даром хлеб едят. В яндексе не такие большие зарплаты, и те кто работает там, действительно любят свою работу и хотят ее делать хорошо.
И да, я никогда не работал в яндексе, на данный момент не собираюсь там работать (у меня нет предложений о работе или контракте с яндексом) и я не владею в данный момент их акциями (владел, признаюсь, но сугубо в спекулятивных целях).
НЛО прилетело и опубликовало эту надпись здесь
Саппорт из-за особенности мозиллы не смогли просмотреть XSS, просто alert() не даст эффекта, а вот alert(«Habrahabr»); уже сделает что ему положенно :)
Вообще было бы здорово видео демонстрацию глянуть. Хоть уже и пофиксили и не судьба. Намного упрощает восприятие. Могу порекомендовать для таких целей программку UVScreenCamera.
При должном подходе видео получается очень наглядным и ясным. Для примера можете глянуть видео в этих постах: один, два.
Сохранение с эффектами (наложение текста и всё остальное что там есть) возможно в формат .flv (его поддерживает youtube). Бесплатная версия программы этого не позволяет
При должном подходе видео получается очень наглядным и ясным. Для примера можете глянуть видео в этих постах: один, два.
Сохранение с эффектами (наложение текста и всё остальное что там есть) возможно в формат .flv (его поддерживает youtube). Бесплатная версия программы этого не позволяет
Согласен, пост несколько корявый. Я до этого ничего подобного не обнаруживал и не писал, опыта багрепорта не имею.
Если вдруг случится, что я когда-нибудь, где-нибудь обнаружу что-то ещё — воспользуюсь вашим советом.
Могу разве что-то поподробнее написать про кодирование в URL, и добавить запросы, которые юзал.
Если вдруг случится, что я когда-нибудь, где-нибудь обнаружу что-то ещё — воспользуюсь вашим советом.
Могу разве что-то поподробнее написать про кодирование в URL, и добавить запросы, которые юзал.
А вот такая же, только опен сорсная и бесплатная, есть?
Не то, чтобы я не верю автору поста, но есть ли доказательства, что история не вымышлена?
По Вашему примеру вспомнил 1 url, проверил — работает. Правда просто JS окно, дальше я хз что. Думаю написать в Яндекс, а еще думаю что просто JS окно наверно хрень и меня пошлют. Вот пишу я javascript: alert('xss') и он работает, стоит им писать?
Уж сколько раз твердили миру, Яндекс и ЯндексДеньги две разные организации.
Кое-что общее меж ними конечно есть, но…
Кое-что общее меж ними конечно есть, но…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пассивная XSS в Яндекс.Деньгах