XSS на РСДН. Просили больше не публиковать код публично.
Так вот, занимаясь построением безопасного HTML-редактора, нашел еще одину возможность создания XSS на РСДН. Причем эта работает во всех браузерах и можно сделать незамето для пользователя.
Т.е. я могу запустить абсолютно любой JS-код в своем сообщении на rsdn. Следовательно, могу стырить кукисы любого из вас и вы даже не узнаете об этом.
Теперь вопрос. Сколько баллов просить за отправку этой информации команде RSDN
По моим прикидам -- торги нужно начинать с 1000 баллов. Ведь до этого столько лет никто не мог обнаружить. А это ставит под угрозу безопасность каждого из нас...
Какие есть идеи?
28.07.09 12:52: Перенесено модератором из 'О жизни' — der Igel
Здравствуйте, 0K, Вы писали:
0K>Теперь вопрос. Сколько баллов просить за отправку этой информации команде RSDN
0K>По моим прикидам -- торги нужно начинать с 1000 баллов. Ведь до этого столько лет никто не мог обнаружить. А это ставит под угрозу безопасность каждого из нас...
А зачем тебе баллы? Это же только иллюзия статуса
0K>Какие есть идеи?
Ну если ты так уж хочешь продать свои услуги — проси персональную подпись
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, 0K, Вы писали:
0K>По моим прикидам -- торги нужно начинать с 1000 баллов. Ведь до этого столько лет никто не мог обнаружить. А это ставит под угрозу безопасность каждого из нас...
0K>Какие есть идеи?
Зачем тогроваться? Воспользуйся уязвимостью и накрути себе хоть 10 000 баллов.
Здравствуйте, Lloyd, Вы писали:
L>Зачем тогроваться? Воспользуйся уязвимостью и накрути себе хоть 10 000 баллов.
Думал об этом. Но это годится разве что для прикола... Ведь довольно скоро обнаружат, дыру закроют, баллы анулируют да еще и забанят... Так что не годится.
XSS на РСДН. Просили больше не публиковать код публично.
0K>Так вот, занимаясь построением безопасного HTML-редактора, нашел еще одину возможность создания XSS на РСДН. Причем эта работает во всех браузерах и можно сделать незамето для пользователя.
0K>Т.е. я могу запустить абсолютно любой JS-код в своем сообщении на rsdn. Следовательно, могу стырить кукисы любого из вас и вы даже не узнаете об этом.
0K>Теперь вопрос. Сколько баллов просить за отправку этой информации команде RSDN
0K>По моим прикидам -- торги нужно начинать с 1000 баллов. Ведь до этого столько лет никто не мог обнаружить. А это ставит под угрозу безопасность каждого из нас...
Ну и что ты, гад, успел у меня стырить, пока я твое сообщение читал?
Надо поступить как профи. Написать кому следует и помочь исправить:
Тебе может быть жалко конечно что в этом случае не столько много людей узнают какой ты хакер, но тем не менее
Здравствуйте, Kubyshev Andrey, Вы писали:
KA>Тебе может быть жалко конечно что в этом случае не столько много людей узнают какой ты хакер, но тем не менее
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, 0K, Вы писали:
0K>Думал об этом. Но это годится разве что для прикола... Ведь довольно скоро обнаружат, дыру закроют, баллы анулируют да еще и забанят... Так что не годится.
А думаешь так не забанят?
IMHO, главное ты уже сказал -- дырка есть!
Теперь поторгуйся подольше, потом всё равно всё на тебя спишут...
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, Igor Sukhov, Вы писали:
IS>Здравствуйте, Kubyshev Andrey, Вы писали:
0K>>>Какие есть идеи? KA>>Надо поступить как профи. Написать кому следует и помочь исправить:
IS>Именно — помогай системе, которая помогает тебе!
Уже отправил письмо. А что там помогать исправить? Меньше нужно мудрствовать при написании кода и таких приколов не будет.
* thriving in a production environment *
