Вот такая вот фигня у меня вчера приключилась с хромом...
В сухом остатке, мы имеем на руках:
— отраженную HTML-injection, позволяющую через специально-сформированную ссылку внедрить в контент уязвимого сайта как произвольный javascript (что является риском даже безотносительно домена, в котором выполняется скрипт, вообще-то), так и произвольный binary-контент, например, pdf/swf/doc с эксплоитом очередной уязвимости обработчиков этих форматов;
— отказ разработчиков браузера фиксить эту уязвимость;
Последние несколько дней я весьма плотно тестил браузеры в конфигурации "из-коробки" на предмет их устойчивости к TOP10 угрозам. И весьма обидно, что если бы не эта дырочка и последовавший ответ разработчиков, то рейтинг браузеров по результатам этих скромных тестов выглядел бы так (в порядке убывания безопасности):
KV>А теперь — даже не знаю
Если я правильно понял, то Гуглевцы правы. Если код не выполняется в контексте того сайта, на который ты зашел, а выполняется в контексте сайта-поставщика XSS, то это не уязвимость. А если бы ты просто на тот сайт зашел?
Здравствуйте, Vamp, Вы писали:
KV>>А теперь — даже не знаю V>Если я правильно понял, то Гуглевцы правы. Если код не выполняется в контексте того сайта, на который ты зашел, а выполняется в контексте сайта-поставщика XSS, то это не уязвимость. А если бы ты просто на тот сайт зашел?
Выделенное озадачило. С каких это пор возможность втихаря подсунуть юзеру произвольный контент (включая двоичный, если что) по ссылке на сайт, которому он доверяет, и даже более того, открыть этот контент (т.е. заставить acrobat прочитать pdf'ку с эксплоитом, к примеру), не является уязвимостью?
KV>Выделенное озадачило. С каких это пор возможность втихаря подсунуть юзеру произвольный контент (включая двоичный, если что) по ссылке на сайт, которому он доверяет, и даже более того, открыть этот контент (т.е. заставить acrobat прочитать pdf'ку с эксплоитом, к примеру), не является уязвимостью?
Ну ты же не доверяешь тому сайту, с которого контент подсосался? То есть pdf не откроется. Или я не понял?
Здравствуйте, Vamp, Вы писали:
KV>>Выделенное озадачило. С каких это пор возможность втихаря подсунуть юзеру произвольный контент (включая двоичный, если что) по ссылке на сайт, которому он доверяет, и даже более того, открыть этот контент (т.е. заставить acrobat прочитать pdf'ку с эксплоитом, к примеру), не является уязвимостью? V>Ну ты же не доверяешь тому сайту, с которого контент подсосался? То есть pdf не откроется. Или я не понял?
под "доверяешь/недоверяешь" я подразумевал эмоциональное отношение пользователя, а не какие-либо политики
KV>под "доверяешь/недоверяешь" я подразумевал эмоциональное отношение пользователя, а не какие-либо политики
А в гугле ребята суровые, эмоции им не ведомы.
Здравствуйте, Vamp, Вы писали:
KV>>под "доверяешь/недоверяешь" я подразумевал эмоциональное отношение пользователя, а не какие-либо политики V>А в гугле ребята суровые, эмоции им не ведомы.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Вот такая вот фигня у меня вчера приключилась с хромом...
Вот это может иметь какое-либо отношение к обнаруженному тобой (ты по фотографиям лечить умеешь? )?
З.Ы. Первая попытка заражения на которую наравался в течении нескольких лет
Luck in life always exists in the form of an abstract class that cannot be instantiated directly and needs to be inherited by hard work and dedication.
Здравствуйте, yuriylsh, Вы писали:
Y>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Вот такая вот фигня у меня вчера приключилась с хромом...
Y>Вот это может иметь какое-либо отношение к обнаруженному тобой (ты по фотографиям лечить умеешь? )? Y>http://files.rsdn.ru/59250/exploit.PNG
. Да, пожалуй теперь туда стоит добавить и диагностику ауры по скриншотам
Y>З.Ы. Первая попытка заражения на которую наравался в течении нескольких лет
Это немного не то. Если предположить, что это была атака XSS, то ты нарвался на активную (хранимую) XSS. От них гуглохромовский фильтр вообще не защищает, ибо не предназначен. Я же писал об отраженных (пассивных) XSS, чье тело всегда присутствует в тексте запроса.
Хотя скорее всего, никакого XSS не было, а ты просто зашел на сайт, который ранее разломали и руками добавили в шаблон страницы вредоносный iframe
In the case of Exploit:HTML/IframeRef.gen, a malicious IFrame is appended at the end of local html files. The rendered IFrame may be only one pixel in length to avoid being spotted by the user.
Exploit:HTML/IframeRef.gen requires that a user view or visit the Web sites or open the HTML page in order for malicious action to occur.
Здравствуйте, kochetkov.vladimir, Вы писали:
Y>>Вот это может иметь какое-либо отношение к обнаруженному тобой (ты по фотографиям лечить умеешь? )? Y>>http://files.rsdn.ru/59250/exploit.PNG
KV>Перечень предоставляемых мною услуг здесь
. Да, пожалуй теперь туда стоит добавить и диагностику ауры по скриншотам
Внушитльно
Y>>З.Ы. Первая попытка заражения на которую наравался в течении нескольких лет
KV>Это немного не то. Если предположить, что это была атака XSS, то ты нарвался на активную (хранимую) XSS. От них гуглохромовский фильтр вообще не защищает, ибо не предназначен. Я же писал об отраженных (пассивных) XSS, чье тело всегда присутствует в тексте запроса.
Так и думал что мимо, я в этой кухне слабо разбирауюсь
KV>Хотя скорее всего, никакого XSS не было, а ты просто зашел на сайт, который ранее разломали и руками добавили в шаблон страницы вредоносный iframe
Luck in life always exists in the form of an abstract class that cannot be instantiated directly and needs to be inherited by hard work and dedication.
