Принцип домино или XSS на крупных сайтах рунета

На странице регистрации нового аккаунта Mail.ru не фильтровались поля 'Имя' и 'Фамилия', в следствии чего туда можно было вставлять скрипты и регистрировать пользователя чьим именем был скрипт (до 80-ти символов). На самом Mail.ru эта уязвимость никак не отражалась, а проявляла себя на тех сайтах, что использовали авторизацию через Mail.ru, и на тех сайтах, что использовали авторизацию сайтов, использовавших авторизацию через Mail.ru
Вот так было до исправления уязвимости:



Так после:




Смотреть видео, что можно было делать

http://habrahabr.ru/blogs/infosecurity/136736/​

 

красиво

 

Понравилось видео) +

 

ТС - автор видео или посмотрел его на YouTube и сюда решил запилить?

 

я думаю он просто на хабре это увидел и решил запостить сюда...

 

Не знаю, я зашел на YouTube он мне сразу предложил посмотреть )) На Хабр даже не успел зайти :3

 

Молодец, что думал, ссылка на хабр в посте есть, предлагаю купить очки.
Выложил, потому, что уязвимость в видео банальная, зато была на всех сайтах с поддержкой входа через Mail.ru

 

Я был удевлён что яндекс не выдал ошибку в корректности имени и фамилии...

 

я же не говорю что ты что то плохое сделал я просто пояснил человеку откуда взялась статья

 

классно конечно, вот бы руки дошли такое проверить не только с mail.ru

 

да, вообще мечта ещё бы на facebook и на VK такие xss'ки

 

Для защиты от XSS надо фильтровать не ввод, а вывод

Они там есть. Аналогичные показанным в видео.

 

м не знал, но догадывался. Делаю сайт с авторизацией через Вк. На всякий случай фильтрую все от Вк ) Имена, Название песен, видео, коменты и т.д. )

 

от ВК не пашет, проверено

 

А POST запросы подделывать уже не модно?) или не канает даже так?

 

немного не в тему.



А что по части логинзы и подобных