Принцип домино или XSS на крупных сайтах рунета

Discussion in 'Video.Antichat' started by GoodGoogle, 22 Jan 2012.

  1. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    На странице регистрации нового аккаунта Mail.ru не фильтровались поля 'Имя' и 'Фамилия', в следствии чего туда можно было вставлять скрипты и регистрировать пользователя чьим именем был скрипт (до 80-ти символов). На самом Mail.ru эта уязвимость никак не отражалась, а проявляла себя на тех сайтах, что использовали авторизацию через Mail.ru, и на тех сайтах, что использовали авторизацию сайтов, использовавших авторизацию через Mail.ru :)
    Вот так было до исправления уязвимости:

    [​IMG]

    Так после:

    [​IMG]


    Смотреть видео, что можно было делать


    http://habrahabr.ru/blogs/infosecurity/136736/​
     
    #1 GoodGoogle, 22 Jan 2012
    Last edited: 22 Jan 2012
    6 people like this.
  2. Lilo

    Lilo Banned

    Joined:
    10 Mar 2009
    Messages:
    462
    Likes Received:
    784
    Reputations:
    313
    красиво
     
    1 person likes this.
  3. stepashka_

    stepashka_ Мотоциклист

    Joined:
    9 Nov 2009
    Messages:
    1,022
    Likes Received:
    423
    Reputations:
    234
    Понравилось видео) +
     
    1 person likes this.
  4. gl0w

    gl0w Member

    Joined:
    31 Dec 2011
    Messages:
    59
    Likes Received:
    21
    Reputations:
    5
    ТС - автор видео или посмотрел его на YouTube и сюда решил запилить?
     
  5. wwalex101

    wwalex101 New Member

    Joined:
    24 Mar 2009
    Messages:
    67
    Likes Received:
    4
    Reputations:
    1
    я думаю он просто на хабре это увидел и решил запостить сюда...
     
  6. gl0w

    gl0w Member

    Joined:
    31 Dec 2011
    Messages:
    59
    Likes Received:
    21
    Reputations:
    5
    Не знаю, я зашел на YouTube он мне сразу предложил посмотреть )) На Хабр даже не успел зайти :3
     
  7. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Молодец, что думал, ссылка на хабр в посте есть, предлагаю купить очки.
    Выложил, потому, что уязвимость в видео банальная, зато была на всех сайтах с поддержкой входа через Mail.ru
     
    1 person likes this.
  8. WmMariupol

    WmMariupol Banned

    Joined:
    16 Dec 2011
    Messages:
    1
    Likes Received:
    10
    Reputations:
    0
    Я был удевлён что яндекс не выдал ошибку в корректности имени и фамилии...
     
  9. wwalex101

    wwalex101 New Member

    Joined:
    24 Mar 2009
    Messages:
    67
    Likes Received:
    4
    Reputations:
    1
    я же не говорю что ты что то плохое сделал я просто пояснил человеку откуда взялась статья
     
  10. <Cyber-punk>

    <Cyber-punk> Smash the Stack

    Joined:
    1 Oct 2009
    Messages:
    658
    Likes Received:
    315
    Reputations:
    430
    классно конечно, вот бы руки дошли такое проверить не только с mail.ru
     
    _________________________
  11. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    да, вообще мечта ещё бы на facebook и на VK такие xss'ки
     
  12. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,581
    Likes Received:
    1,317
    Reputations:
    1,557
    Для защиты от XSS надо фильтровать не ввод, а вывод ;)
    Они там есть. Аналогичные показанным в видео.
     
    1 person likes this.
  13. LStr1ke

    LStr1ke Elder - Старейшина

    Joined:
    29 Jul 2009
    Messages:
    801
    Likes Received:
    145
    Reputations:
    73
    м не знал, но догадывался. Делаю сайт с авторизацией через Вк. На всякий случай фильтрую все от Вк ) Имена, Название песен, видео, коменты и т.д. )
     
  14. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    от ВК не пашет, проверено
     
  15. Osstudio

    Osstudio Banned

    Joined:
    17 Apr 2011
    Messages:
    638
    Likes Received:
    160
    Reputations:
    81
    [​IMG]
    А POST запросы подделывать уже не модно?) или не канает даже так?
     
  16. Bo0oM

    Bo0oM Member

    Joined:
    26 Dec 2009
    Messages:
    2
    Likes Received:
    35
    Reputations:
    21
    немного не в тему.
    [​IMG]


    А что по части логинзы и подобных