Здравствуйте, neFormal, Вы писали:
F>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>*уставшим таким голосом* neFormal, на этот раз, что не так-то?
F>эм, ты так говоришь, как будто я преследую тебя во всех твоих топиках.. это действительно так?. ~_^
Да нет, вроде не преследуешь "На этот раз..." относилось не лично к тебе, а к очередному молчаливому минусу в мой адрес вообще, в принципе.
F>а по теме: KV>>По моему, получилось веселее, чем у VEAPUK'a, не находите? F>не нашёл..
Черт. А я так надеялся что твой минус обозначает, что ты сторонник того, что XSS — это проблемы браузеров, а не веб-приложений и, что мы сейчас дружно переедем в КСВ...
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>По моему, получилось веселее, чем у VEAPUK'a, не находите?
Чтобы посмотреть на результаты твоих трудов, пришлось приложить немало усилий.
Chrome — молча не сработало.
IE8 — сказал "Internet Explorer has modified this page to help prevent cross-site scripting". Как отключить не нашел.
Пришлось запускать Тормозиллу. В ней оказался установлен плагин NoScript, который, по его собственному выражению "отфильтровал XSS-атаку". Только отключив плагин и перезапустив FireFox, смог наблюдать карусель.
Оперы и прочей экзотики сроду не держал, проверить не смог.
Выводы сделал следующие:
1. Я пользуюсь правильным браузером;
2. kochetkov.vladimir очень не ленивый человек;
3. FireFox не только тормозное поделие, но еще и дырявое, как решето;
4. Бедным хацкерам, должно быть, очень тяжело приходится: не каждого заставишь так много телодвижений совершить;
5. Улыбающимся здесь
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>P.S: Они хоть бы сайты научились делать, манивиннеры хреновы
По ходу Opera — единственный браузер, который почти нормально из зкоробки всё отрисовал, включая вышеупомянутую "карусель". А вообще как-то не сильно смешно
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Re[2]: Рулетка в цвет, метод удвоения. МОЯ реферальная ссылк
Здравствуйте, Laurel, Вы писали:
L>Chrome — молча не сработало.
Не совсем молча. Если глянуть в консоль javascript, то там будет написано, что скрипт был заблокирован из-за того, что он был обнаружен в теле GET-запроса. Что, в общем-то правильно. На самом деле, в хром (начиная с какой-то из 4.x версии, насколько я помню) встроен лучший фильтр отраженных XSS из тех, которыми могут похвастаться остальные браузеры. Точнее не в сам хром, а в вебкит, но не суть. Причем в пятой dev-версии, они вылизали его до такого состояния, что до сих пор (уже почти неделю) не обнаружено ни одного способа обхода этого фильтра. Это о многом говорит. Обычно такие способы находятся на 1-2ый день после выпуска новой версии.
L>IE8 — сказал "Internet Explorer has modified this page to help prevent cross-site scripting". Как отключить не нашел.
В IE8 фильтр реализован по-дурацки. Вместо того, чтобы просто блокировать то, что он счел скриптом из отраженной XSS, он видоизменяет подозрительную строку, вставляя в нее посторонние символы. В итоге, на фоне того, что поддержка альтернативных кодировок и способов представления некоторых символов там реализована криво, этот фильтр достаточно легко обходится.
L>Пришлось запускать Тормозиллу. В ней оказался установлен плагин NoScript, который, по его собственному выражению "отфильтровал XSS-атаку". Только отключив плагин и перезапустив FireFox, смог наблюдать карусель.
У NoScript'а есть только один недостаток — он не поставляется в коробке с фоксом. В остальном, в качестве фильтра отраженных XSS, он ничем не уступает вебкитовскому.
L>Оперы и прочей экзотики сроду не держал, проверить не смог.
А зря. Как уже заметили выше, опера — единственный из этих 4 браузеров (если брать их последние версии), в котором все работает из коробки.
L>Выводы сделал следующие: L>1. Я пользуюсь правильным браузером;
Я тоже
L>2. kochetkov.vladimir очень не ленивый человек;
Я очень ленив. Если бы я не был ленив, то эта ссылка работала бы везде, кроме хрома >= 4 и фокса с установленным noscript. Я серьезно.
L>3. FireFox не только тормозное поделие, но еще и дырявое, как решето;
Ну, это ты зря. Функционал, который встраивается в других броузерах прямо в движок, они отдали на откуп расширениям, только и всего. Другое дело, что им следовало бы поставлять с фоксом тот же noscript в конфигурации с отключенной блокировкой выполнения активного содержимого, но с включенным фильтром тех атак, которые он умеет детектить. Цены бы тогда фоксу не было
L>4. Бедным хацкерам, должно быть, очень тяжело приходится: не каждого заставишь так много телодвижений совершить;
См. п.2 Я потратил на все это около 10-15 минут. Хакер, планирующий XSS-атаку на какой-либо популярный ресурс (например, с целью формирования ботнета) тратит на вылизывание своего payload'a до нескольких недель. И, как показывает практика, телодвижений зачастую, вообще ни от кого не требуется.
L>5. Улыбающимся здесь
Здравствуйте, frogkiller, Вы писали:
F>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>P.S: Они хоть бы сайты научились делать, манивиннеры хреновы
F>По ходу Opera — единственный браузер, который почти нормально из зкоробки всё отрисовал, включая вышеупомянутую "карусель".
Здравствуйте, kochetkov.vladimir, Вы писали:
L>>Оперы и прочей экзотики сроду не держал, проверить не смог.
KV>А зря. Как уже заметили выше, опера — единственный из этих 4 браузеров (если брать их последние версии), в котором все работает из коробки.
Вот это не понял. Что зря? Зря не держу? Да на что она мне сдалась? И что работает из коробки? XSS? Дык в FireFox тоже работает .
L>>2. kochetkov.vladimir очень не ленивый человек;
KV>Я очень ленив. Если бы я не был ленив, то эта ссылка работала бы везде, кроме хрома >= 4 и фокса с установленным noscript. Я серьезно.
Ну да, как же. Только очень не ленивый человек ищет возможности для XSS на всех попадающихся сайтах, даже не сайтах лохотронов, коих в сети не сосчитать.
L>>3. FireFox не только тормозное поделие, но еще и дырявое, как решето;
KV>Ну, это ты зря. Функционал, который встраивается в других броузерах прямо в движок, они отдали на откуп расширениям, только и всего. Другое дело, что им следовало бы поставлять с фоксом тот же noscript в конфигурации с отключенной блокировкой выполнения активного содержимого, но с включенным фильтром тех атак, которые он умеет детектить. Цены бы тогда фоксу не было
Ну, в таком случае все браузеры невероятно надежны. Просто функционал, который в Хроме встраивается прямо в ядро, они отдали на откуп антивирусам, только и всего.
Нет уж, отдавать расширениям на откуп можно всякие удобства, красивости и ненужности. А если для прикрытия дыр нужен плагин — это, извините, решето.
L>>4. Бедным хацкерам, должно быть, очень тяжело приходится: не каждого заставишь так много телодвижений совершить;
KV>См. п.2 Я потратил на все это около 10-15 минут. Хакер, планирующий XSS-атаку на какой-либо популярный ресурс (например, с целью формирования ботнета) тратит на вылизывание своего payload'a до нескольких недель. И, как показывает практика, телодвижений зачастую, вообще ни от кого не требуется.
Опять непонятно. Скажем, в моем случае: упомянутому хакеру придётся заставить меня запустить фокс и отключить NoScript — что для незнакомого ресурса практически невыполнимо, а даже если и удастся, ничего у меня утащить не получится: я фоксом никуда не хожу, никаких кук там нет.
С IE та же самая история, и, кстати, успешная атака на него так и не продемонстрирована, но тебе виднее.
L>>5. Улыбающимся здесь
товарищам следует выразить сочувствие: они используют FireFox (или какое-то другое дырявое чудо).
KV>Может они используют другие браузеры и улыбаются от радости, что у них все ок?
Не знаю, не знаю. Я-то сначала ткнул в ссылку и ничего не увидел. Сразу бы дальше пошёл, если бы не улыбающиеся товарищи: они же что-то заметили. Пришлось на ссылку внимательно посмотреть, после чего искать способ выстрелить себе в ногу.
Re[2]: Рулетка в цвет, метод удвоения. МОЯ реферальная ссылк
Здравствуйте, Laurel, Вы писали:
L>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>По моему, получилось веселее, чем у VEAPUK'a, не находите?
L>Чтобы посмотреть на результаты твоих трудов, пришлось приложить немало усилий.
L>Chrome — молча не сработало.
Chrome 3.0.195.38 — карусель работает
[]
Re: Рулетка в цвет, метод удвоения. МОЯ реферальная ссылка
Здравствуйте, Laurel, Вы писали:
L>Chrome — молча не сработало. L>IE8 — сказал "Internet Explorer has modified this page to help prevent cross-site scripting". Как отключить не нашел. L>Пришлось запускать Тормозиллу. В ней оказался установлен плагин NoScript, который, по его собственному выражению "отфильтровал XSS-атаку". Только отключив плагин и перезапустив FireFox, смог наблюдать карусель. L>Оперы и прочей экзотики сроду не держал, проверить не смог.
Опера 9 — полет нормальный. В смысле всякая хрень тоже по страничке крутится
Re[3]: Рулетка в цвет, метод удвоения. МОЯ реферальная ссылк
Здравствуйте, Laurel, Вы писали:
L>Здравствуйте, Константин Л., Вы писали:
L>>>Chrome — молча не сработало. КЛ>>Chrome 3.0.195.38 — карусель работает
L>А, простите, где ж вы этот раритет взяли? Стабильная ветка — 4, девелоперская 5. У меня девелоперская, чего и вам советую.
как где? поставил с год назад. пишет, что у меня последняя версия
Re[4]: Рулетка в цвет, метод удвоения. МОЯ реферальная ссылк
Здравствуйте, Laurel, Вы писали:
KV>>Я очень ленив. Если бы я не был ленив, то эта ссылка работала бы везде, кроме хрома >= 4 и фокса с установленным noscript. Я серьезно. L>Ну да, как же. Только очень не ленивый человек ищет возможности для XSS на всех попадающихся сайтах, даже не сайтах лохотронов, коих в сети не сосчитать.
Ну надо же как-то свой уровень поддерживать. Программеры ведь тоже этюды любят решать? Вот и это типа мини-этюда
Не только XSS, кстати. Просто про остальные я в паблик не пишу
KV>>Ну, это ты зря. Функционал, который встраивается в других броузерах прямо в движок, они отдали на откуп расширениям, только и всего. Другое дело, что им следовало бы поставлять с фоксом тот же noscript в конфигурации с отключенной блокировкой выполнения активного содержимого, но с включенным фильтром тех атак, которые он умеет детектить. Цены бы тогда фоксу не было L>Ну, в таком случае все браузеры невероятно надежны. Просто функционал, который в Хроме встраивается прямо в ядро, они отдали на откуп антивирусам, только и всего. L>Нет уж, отдавать расширениям на откуп можно всякие удобства, красивости и ненужности. А если для прикрытия дыр нужен плагин — это, извините, решето.
Для меня важен конечный результат. Если тот же уровень безопасности достигается установкой одного-двух плагинов, то какая разница, где и как это реализовано? Хром представляется мне безопаснее фокса, но не потому что у него вынесено в плагины то, что у хрома находится в ядре.
Кстати, noscript прекрасно справляется с активными XSS, в хроме такого функционала нет ни в ядре, ни среди расширений (В фильтре IE8 кстати тоже)
KV>>См. п.2 Я потратил на все это около 10-15 минут. Хакер, планирующий XSS-атаку на какой-либо популярный ресурс (например, с целью формирования ботнета) тратит на вылизывание своего payload'a до нескольких недель. И, как показывает практика, телодвижений зачастую, вообще ни от кого не требуется. L>Опять непонятно. Скажем, в моем случае: упомянутому хакеру придётся заставить меня запустить фокс и отключить NoScript — что для незнакомого ресурса практически невыполнимо,
В случае активной XSS — хватит и зайти на незнакомый ресурс из хрома.
L>а даже если и удастся, ничего у меня утащить не получится: я фоксом никуда не хожу, никаких кук там нет.
Кража кук — не самое страшное (и не самое распространенное на сегодняшний день) применение XSS'ов. Недавно попадалась на глаза статистика, что около 40% ботнетов формируются через эксплуатацию уязвимостей в броузере посредством XSS.
L>С IE та же самая история, и, кстати, успешная атака на него так и не продемонстрирована, но тебе виднее.
Теперь уже не виднее (пока), ибо, как оказалось, дырка в IE через которую можно были бы обойти xss-фильтр была закрыта буквально на днях: http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx , и теперь набор регулярок для искажения подозрительного содержимого звездочками сильно подрос:
Но спасиб, теперь есть чем заняться на досуге
KV>>Может они используют другие браузеры и улыбаются от радости, что у них все ок? L>Не знаю, не знаю. Я-то сначала ткнул в ссылку и ничего не увидел. Сразу бы дальше пошёл, если бы не улыбающиеся товарищи: они же что-то заметили. Пришлось на ссылку внимательно посмотреть, после чего искать способ выстрелить себе в ногу.
Ну ок, в следующий раз постараюсь сделать так, что было достаточно ткнуть в ссылку
Здравствуйте, Tom, Вы писали:
KV>>По моему, получилось веселее, чем у VEAPUK'a, не находите? Tom>Опера последняя показала карусельку, IE вырезал. Tom>Поясни в чём суть то. Я вне контекста так что не понял смысла поста
Смысл в том, что на том сайте есть пассивная (отраженная) XSS-уязвимость, благодаря которой, твой браузер выполняет встроенный в ссылку js-код, закручивающий в карусель все изображения со страницы
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Сабж
KV>По моему, получилось веселее, чем у VEAPUK'a, не находите?
KV>P.S: Они хоть бы сайты научились делать, манивиннеры хреновы
Konqueror 4.3.5 карусель показал . Но какова вероятность с ним попасть в бот нет или лишится паролей из kwalet — . Надо будет багу записать.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Re[3]: Рулетка в цвет, метод удвоения. МОЯ реферальная ссылк
Здравствуйте, dr.Chaos, Вы писали:
DC>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Сабж
KV>>По моему, получилось веселее, чем у VEAPUK'a, не находите?
KV>>P.S: Они хоть бы сайты научились делать, манивиннеры хреновы
DC>Konqueror 4.3.5 карусель показал . Но какова вероятность с ним попасть в бот нет или лишится паролей из kwalet — . Надо будет багу записать.