XSS на yandex.ru

    Вчера один мой друг (LMaster) нашел пассивную XSS на Яндексе. Специально сформированный адрес, переданный жертве, позволяет похитить cookies. Не фильтруется GET-параметр add. Для срабатывания скрипта не требуется никаких действий пользователя.
    Запрос:
    _http://www.yandex.ru/?add=3188">&edit=1


    P.S. Сам он не имеет доступа на хабр. Основная тема.

    UPD: Уязвимость закрыта. Об этом уже сообщено в комментариях. Пожалуйста, не создавайте сотни ответов: «Не работает!»
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 52

    • НЛО прилетело и опубликовало эту надпись здесь
        –8
        Безусловно. Сам пользуюсь этим расширением.
          +14
          А ВОТ В ЛИНУКСЕ ВООБЩЕ ДЕФРАГМЕНТИРОВАТЬ НЕ НАДО!!!111

          ой, простите, это кажется из другого холивора
            –4
            В этой теме, нормальным людям плевать на браузеры, и кто что использует. Пара комментариев задела лишь тех, у кого какие-то проблемы. думаю, что и в опере есть средства безопасности. Сам я кроме ФФ использую еще и легкий браузер Arora.

            P.S. Холиварщики странные создания. Они ну нихрена не делают для любимого продукта, но меряются им с другими…
          +2
          Как же вы заебали уже со своим noscript, adblock, firefox, opera, ie, windows, linux, macos.
          0
          У меня в ff не сработало (3.5) и в восьмом ослике.
            –1
            Только что один человек сказал, что у него на 3.5 работает. У меня на 3.0.11 тоже. Странно. На сайте тоже есть один комментарий подобный.
              +1
              Ступил. Подумал, что вы привели поисковой запрос, а то сам url и есть. А на форум не стал заходить, ff отсоветовал)
            +3
            Опера 9.64, FF 3.5.1, Chrome 2, IE8 — не работает. Странно это.
            • НЛО прилетело и опубликовало эту надпись здесь
              • НЛО прилетело и опубликовало эту надпись здесь
                  –2
                  Написал сообщение человеку с этим вопросом. Сам не отправлял. Если хотите, можете уведомить, но я опубликовал на хабре еще и потому, что здесь есть их представители, а форумы подобной тематики читают другие ребята.
                  0
                  поправили по ходу уже
                    0
                    у меня работает
                  0
                  Еще работает, Линукс и ФФ 3.5.1
                    +18
                    Бедный Йорик Яндекс*. Капчи ломают, XSS'ы находят… Куда мир катится?

                    * Найдётся всё ©

                    P.S.: Всё вроде бы, исправили. Работало в 3.5.1, пока писал комментарий — перестало.
                      0
                      Зато виджет добавился все равно) ФФ 3,5,1 Дебиан
                        +2
                        Молодцы. Довольно быстро.
                          0
                          только что проверил. еще работало. фф 2.0.0.14
                          Noscript отрубил XSS и предупредил.
                          внизу добавился пустой виджет.
                            –1
                            Noscript реагирует на саму строку. У меня вроде теперь не работает.
                          0
                          Это фича! Still work
                            –3
                            не работает
                            вообще странно, как Яндекс такое допустил
                            там кто работает? дяди Васи?
                              +2
                              Читайте выше. Уязвимость вполне оперативно закрыли. От ошибок никто не застрахован.
                                –8
                                ошибок? ошибка может быть в логике, в вычислениях…

                                уж простите, но не поставить фильтр на GET-данные — это не ошибка, это признак ламерства
                                они бы хотя бы striptags сделали
                                даже школяр, который пишет гостевую на PHP, уже через неделю 100% знает, что не фильтровать GET (равно как и POST) — это плохо
                                  +3
                                  Да ладно вам?! Программистов не знаете? Умные, но Ленивые. Вот поэтому все и происходит. Лень проверить написать готовые функции для единой проверки подобных вещей.
                                  Так, что это не касяк. Просто запамятовали. С кем не бывает?!

                                  У яндекса есть ошибки настоящие — это очевидно. Только знают о них единицы и пользуются в своё благо.
                                    –6
                                    «Умные, но Ленивые»
                                    скажите это Гуглу, ага
                                    там тоже как бэ программисты
                                      +1
                                      а в гугле нету дырок? 0_0
                                        0
                                        О да, скажите гуглу, пусть тоже писать поучатся. Им есть куда развиваться.
                                        –3
                                        От ошибок никто не застрахован — факт. Но когда такая мощная компания допускает такое в своем основном, между прочим, сервисе — это уже слишком. Мне кажется — основная проблема в их снобизме. Например PHP для них вообще запретная тема, насколько я слышал.
                                          +3
                                          На PHP moikrug.ru работает, как это может быть запретной темой?
                                            0
                                            МК — изначально не их проект. Был куплен уже после. А вообще, мне об этом говорил человек, работавший в Яндексе несколько лет. Я могу поспрашивать поподробней, если есть желание.
                                              0
                                              Поспрашивайте. Заодно узнайте что они любят и что используют. =)
                                              Для расширения кругозора.
                                        0
                                        Вспомните про XSS у вконтакте, его не правили несколько месяцев, и хз исправили ли сейчас;)
                                          0
                                          По слухам, этот контакт просто кишит багами. Думаю, что все в приватах форумных есть. Наши тоже находили какую-то уязвимость. Причем, если мне не изменяет память, SQL-injection. (:
                                      +4
                                      При чём тут дяди Васи? Баги встречаются на многих сайтах крупных, например:
                                      Не так давно (2-3 мес назад) SQL инъекция на Intel.com пару недель лежала в приватах на хак форумах, но нечего утянуть ценного не удалось.
                                      Это из крупных не единичный случай…
                                      www.cec.gov.ge
                                      mju.gov.si
                                      www.president.gov.ge
                                      www.medportal.ge
                                      government.gov.ge
                                      www.adjara.gov.ge
                                      думаю не надо объяснять что за домены gov, на них пару лет назад тоже были SQL…
                                      ldpr.ru сайт Жириновского (слиты базы)
                                      outdoor-komitet.ru а а эти даже за год не сменили пароль на админку, мб и не залатали багу…
                                      Так что не удивительно что на каком-то там яндексе нашли паршивую XSS-пасивную, они и раньше были…
                                        +3
                                        Да 90% .gov сайтов — сплошные дыры
                                          0
                                          Кстати, очень интересно ведут себя WEB-разработчики и администраторы сайтов. Им пишешь добровольно, что у них дыра там-то и там-то, причем уязвимости кошмарные бывают, а они просто ну никак не реагируют, а потом, когда их школота дефейсит, начинают что-то делать.
                                            0
                                            бюджет не выделили
                                              +2
                                              Как сотрудник гос.конторы могу сказать, что иногда только эта «школота» может сдвинуть с мертвой точки наглухо замороженный бюджет на модернизацию web-служб.
                                                0
                                                Да, полностью с вами согласен. Есть такие. Но есть и адекватные. Как то нашёл XSS на одном провайдере, написал в сапорт, сказали спасибо за информацию, придёт тех работник мы ему сообщим. Так же было когда писал одному файлообменнику что у него есть дыры он сказал что если что то случиться то засудит меня, вот и сообщай после этого им )
                                                Хотя всё же больше адекватных. Но то что ты написал про бюджет гос учреждений, бывают просто сидят там те кто не знает про дыры и тд, их просто посадили следить за наполнением сайта. Встречался также с мегатупостью, пишу одному админу мелкого хак форума и говорю что его взломали и пароли от фтп и тд в паблик кто то выкинул, он сказал что ну и пусть, у меня если что есть бекап если что нибудь сделают…
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              –1
                                              Chrome 2 — не работает.
                                                0
                                                Написали же уже, что пофиксили.
                                                +4
                                                  –1
                                                  проверил в лисе 3.5.1. — не работает ))
                                                    0
                                                    зачем тогда вообще было создавать эту тему?
                                                      0
                                                      На момент создания темы уязвимость была. Вы вообще комментарии не читаете? Об уязвимости узнали благодаря сообщению.
                                                        +1
                                                        в таком случае уместнее было бы сообщить яндексу напрямую, чем через хабр
                                                        это идиотизм — создавать на кажду xss по отдельной теме. даже если она актуальна
                                                      –1
                                                      Noscript в FF написал: отфильтровал потенциальную XSS атаку.
                                                        –1
                                                        ух-ты, вот это новость ;-)
                                                          +1
                                                          Вот и я. Технология виджетов на Яндексе может здорово помочь обычным пользователям, но текущая её реализация очень уязвима. Я бы хотел, чтобы вы (в т.ч. сотрудники Яндекса) задумались над этим вопросом.

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое