XSS на Яндексе

    Переходим по ссылке и жмем в расширенный поиск

    UPD: Автор информации — Андрей Денисюк

    Web Optimizator: проверка скорости загрузки сайтов

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 69

      +1
      серьёзно
        0
        Уже не аллё.
        Утка или за 30 минут поправили?
          0
          Работает!
            0
            Точно - невнимательно прочёл топик.
          0
          О! Шушпанчик! Работает!
            0
            Видимо уже поправили.
            Хотя слабо верится с таким простым запросом…

            Помню только один XSS, который был при проверке роботс.тхт
              +1
              Сорри, забыл нажать на расширенный поиск :)
                0
                Видимо сказывается ночь и накопленная усталость - я тоже позабыл )
                  +2
                  Вот так бы небыло непоняток:

                  Переходим по ссылке и жмем в расширенный поиск.
                    0
                    Согласен - так очевидней, полпятого ночи то)
                      +1
                      точно
                      зашел на яндекс по вашей ссылке и увидел строчку носкрипта "NoScript отфильтровал потенциальную XSS-атаку (попытку межсайтового скриптинга) с сайта [habrahabr.ru]"
                      надо же :)
                0
                Кто без дырок. Я сам нашел одну на bs.yandex.ru (рекламный хост) ;)
                К сожалению, сообщил в саппорт.
                эх, былое, былое... как я был наивен...
                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    > СПАСИБО!
                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        Так, ушлые пользователи сразу найдут 100000 багов... по 100$ и разорится компания Yandex :)
                          0
                          Ну уж не разорится, достаточно грамотно прописать условия вознаграждения.
                          Зато портал станет безопаснее...
                            +2
                            а надо вычитать из зарплаты прогеров:)
                      0
                      Лера Страза
                      охренеть %)
                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        У меня работает... Интересно, что ответит "Яндекс"...
                          +2
                          Не работает. NoScript не дремлет :)
                          • НЛО прилетело и опубликовало эту надпись здесь
                              +10
                              Вы не заметили, что этим постом мне удалось убедить нажать на эту кнопку сотни человек :) Да, я не злоумышленник, но ведь всякое бывает, правда? :)
                                0
                                да... распугаешь тут всех alert'ом)
                              +4
                              ничего особого, на яндексе xss немало.
                              оповещал саппорт по трем xss в разных сервисах(блоги, карта, шоп) гдето в середине октября 2007, 24.10.07 пришел ответ:

                              Здравствуйте!
                              Большое спасибо за информацию, я передам ее разработчикам.
                              --
                              С уважением, Тимофей Журавлев
                              Служба поддержки Яндекс.Ру
                              http://help.yandex.ru/

                              на настоящее время две XSS так и работают...
                                +1
                                чтобы не быть голословным:
                                http://market.yandex.ru/model.xml?hid=90…';alert('XSS');//
                                и таких багов на данный момент там много.
                                  +9
                                  урл побился...
                                  hxxp://market.yandex.ru/model.xml?
                                  hid=90639&modelid=1039364&a=';alert('xss');//
                                    +2
                                    Да. Здесь посерьезней, чем в топике.
                                      0
                                      FF не ревгирует
                                        0
                                        Всё работало, уже закрыло.

                                        Чтобы быстрей исправили баг — надо отправить его в паблик :)
                                    +1
                                    + ещё такая же:
                                    hxxp://help.yandex.ru/partner/?id=996706&a='+eval('alert(1)')+'

                                    заходим и кликаем на линк "войти" в верхнем правом углу :)
                                      +1
                                      Доработал чуток =)

                                      help.yandex.ru/partner/?id=996706&a='+eval('alert(unescape("%u041D%u0435%20%u0432%u0445%u043E%u0434%u0438%u0442%u044C%21%20%3D%29%20"))')+'

                                      заходим и кликаем "войти" в верхнем правом углу. =)

                                      Может это обсуждение на Хабре сподвигнет Яндекс таки заняться вопросами безопасности?
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                      0
                                      у меня все работает. офигеть =)
                                        0
                                        ну и что? XSS неопасный какой-то) Приведите пример опасного XSS!
                                          +1
                                          ага, страшного, который венду убивает:)
                                            0
                                            http://habrahabr.ru/blog/infosecurity/34…

                                            Да нет, всего-лишь украдут ваш аккаут и Я.Кошелек на котором все ваши сбережения :)
                                              0
                                              с помощью этого xss Я.Кошелёк конечно же нельзя украсть. Платёжный пароль нигде никак не хранится.
                                              0
                                              Через XSS можно куки получить, и, если вы были залогированны на сайте...
                                              Слышали когда-нибудь про подмену сессии?
                                              0
                                              А в чём физическая угроза такого бага для ресурса? В браузере пользователя выполняется его-же javascript-код. Ну если хотя-бы не нужно было открывать расширенный поиск, а всплывающее диалоговое окошко выскакивало сразу - тогда ещё понятно - нехороший человек мог бы давать ссылку на ресурс, переходя по которой я видел бы окошко с какой-нибудь гадостью, или ложной информацией. А так... Объясните в чём собака зарыта.
                                                +4
                                                А ничего страшного в этом нет.
                                                Ну подумаешь, хакер куку уведет, по которой происходит авторизация юзера...
                                                Ну в директе перерасход бабала организует, ну почтовый ящик уведет.
                                                Это же все ерунда... Не страшно...
                                                  –1
                                                  Но для этого-же надо перейти по кнопке "расширенный поиск". Ожидать что адекватный пользователь захочет нажать расширенный поиск видя в окне поиска javascript-код, а не слово "колбаса" к примеру, мне кажется наивным. То что дыра в заборе есть это очевидно, но только расположена она на уровне второго этажа. Может поэтому и не спешат затыкать.
                                                    +3
                                                    Посмотрите выше, там есть серьезнее баги, которые даже нажатия на "Расширенный поиск" не требуют.
                                                      0
                                                      Задал не праздный вопрос, который интересует многих, зиминусовали до смерти. Про последствия (хакер куку уведет, по которой происходит авторизация юзера...
                                                      Ну в директе перерасход бабала организует, ну почтовый ящик уведет.
                                                      ) про которые написал IlVin выше как-раз не было. Про другие баги почитал, один код даже доработал (см. выше) =)
                                                      0
                                                      А у нас цель не эксплуатировать дырку, а научить Яндекс таких дырок не делать. Вот для нас эта дырка очевидна. И ее последствия тоже очевидны. А для разработчиков и тестеров Яндекса не очевидна. Так давайте шуметь вокруг этих дырок на втором этаже, чтобы они не допустили таких же дырок в подвале :)
                                                        0
                                                        вот, к примеру, миллион долларов за дыркой лежит - не полезете? (к тому, что плохая аналогия)
                                                        0
                                                        Помимо уведения конфиденциальной информации, можно воспользоваться какой-либо уязвимостью браузера. Если у жертвы ИЕ 6.0, то - большой простор для деятельности.
                                                      0
                                                      Судя по развитию комментов в данном топике через пару часов тут уже ломанут яндекс, и возьмутся за гугл :) . А вообще, sunnybear, вам "решпект" за то что сообщили о дырке, а не просто утаили, или например попробовали воспользоватся, или хуже - кому то продать инфу о ней.
                                                        0
                                                        10:49 - Еще работает)))
                                                          +7
                                                          2016 год, 15 декабря, 10:22 - все еще работает...
                                                            –1
                                                            Забудьте о Яндексе в 2016 году.
                                                            Don't be evil.
                                                          +1
                                                          2 sunnybear:
                                                          некрасиво поступаете, Андрей публиковал эту информацию с несколько иными целями
                                                            0
                                                            по поводу "нехорошо" может быть много разных мнений.

                                                            Здесь я доношу до общественности то, что может быть до нее донесено. Чем больше будет общественный резонанс, тем быстрее ситуация будет исправлена (по крайней мере, эти вещи коррелируют). Возможно, Андрей, не этого хотел своим письмом. Но если бы он этого не хотел, то прямо бы написал об этом.
                                                              +1
                                                              Дело в том, что информация была опубликована на закрытом листе, и вы нарушили правило распространения информации (3.1).
                                                              При этом, судя по вашему профилю, вы себе эту "заметку" уже внесли в список "О себе", не указав на источник/автора. Некрасиво.
                                                                0
                                                                конкретно в этом пункте я с Вами соглашусь.

                                                                Но мне лично не совсем понятно, как давать ссылку на закрытый лист (он же закрытый, да еще и лист).

                                                                В профиле список опубликованных подо мною статей/переводов на этом ресурсе. По какой именно ссылке на этом ресурсе он доступен, не играет большой роли.
                                                                  0
                                                                  Ссылку на источник и автора можно дать словесно, если автор вообще давал разршение на вынос информации. Думаю, вы это и сами понимаете. Никто не говорит о технической гиперссылке на письмо.
                                                                  Хорошо, что мы поняли друг друга.
                                                            0
                                                            Да, наверное, уже давно кто-то преспокойно собирает куки, ибо пользователей яндекса в рунете хватает. Вопрос-то в другом! Почему разработчики так пофигистически относятся к волонтерам, которые сообщают им о весьма существенный ошибках? Почему такие тормоза? Неужели нужна широченная огласка в сети, чтобы они заметили ошибку? Помню был вариант xss на mail.ru. Там передавалась строка с количеством входящих писем: можно было подставить алерт с отсылкой куков и жить себе преспокойно. Вот только прикрыли эту дырку моментально.
                                                              0
                                                              До сих пор работает. Я в шоке!
                                                                0
                                                                Я не вижу ничего особо опасного в данной XSS. Эта XSS является пассивной, даже дважды пассивной. Т.е. мы должны заставить юзера перейти по этой ссылке, потом на открывшейся странице заставить нажать его еще одну ссылку. Сомневаюсь, что при проведении атаки найдется хоть один нормальный человек, который это сделает и ничего не заподозрит. Пассивных XSS на Яндексе хватает. Более опасными являются активные XSS, но если на Яндексе они и есть, то находятся строго в "привате".

                                                                Что касается заявлений о том, что Яндекс не заботится о своей безопасности и не закрывает дыры — я скажу, что это не совсем так. Пару месяцев назад на Яндексе была такая бага, которая позволяла регистрировать неограниченное число аккаунтов в обход каптчи, за счет перехода сразу на второй шаг регистрации. После уведомления об этом саппорта по e-mail, бага была закрыта менее чем за 24 часа. Деньги за найденные баги они не платят — просто пишут в ответ письмо с благодарностью.
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                    0
                                                                    прикрыли
                                                                      0
                                                                      я тоже не застал.. а жаль :)
                                                                      0
                                                                      не успел насладиться...
                                                                        0
                                                                        Прикрыли, зато от Stepanow еще работает...
                                                                          0
                                                                          Прикрыли и теперь пишут: XSS и Не входить.
                                                                            –2
                                                                            Если еще хоть кто-то начнет тему "firefox небезопасен" - пусть попробуют походить по всем этим xss-сайтам с firefox + NoScript.
                                                                              0
                                                                              Ага, просто пассивная XSS, которая ничего не делает, вставка html-кода в уязвимый скрипт и все. Еще можно без всякого вреда помглумиться над гуглом и мсн:
                                                                              http://www.google.com/url?q=http://www.ya.ru
                                                                              http://search.live.com/act2.aspx?q=49&b=1&url=http://www.yandex.ru

                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                              Самое читаемое