XSS на РСДН. Просили больше не публиковать код публично.
Так вот, занимаясь построением безопасного HTML-редактора, нашел еще одину возможность создания XSS на РСДН. Причем эта работает во всех браузерах и можно сделать незамето для пользователя.
Т.е. я могу запустить абсолютно любой JS-код в своем сообщении на rsdn. Следовательно, могу стырить кукисы любого из вас и вы даже не узнаете об этом.
Теперь вопрос. Сколько баллов просить за отправку этой информации команде RSDN
По моим прикидам -- торги нужно начинать с 1000 баллов. Ведь до этого столько лет никто не мог обнаружить. А это ставит под угрозу безопасность каждого из нас...
Какие есть идеи?
28.07.09 12:52: Перенесено модератором из 'О жизни' — der Igel
Здравствуйте, Igor Sukhov, Вы писали:
IS>Здравствуйте, Kubyshev Andrey, Вы писали:
0K>>>Какие есть идеи? KA>>Надо поступить как профи. Написать кому следует и помочь исправить:
IS>Именно — помогай системе, которая помогает тебе!
Уже отправил письмо. А что там помогать исправить? Меньше нужно мудрствовать при написании кода и таких приколов не будет.
XSS на РСДН. Просили больше не публиковать код публично.
0K>Так вот, занимаясь построением безопасного HTML-редактора, нашел еще одину возможность создания XSS на РСДН. Причем эта работает во всех браузерах и можно сделать незамето для пользователя.
0K>Т.е. я могу запустить абсолютно любой JS-код в своем сообщении на rsdn. Следовательно, могу стырить кукисы любого из вас и вы даже не узнаете об этом.
0K>Теперь вопрос. Сколько баллов просить за отправку этой информации команде RSDN
0K>По моим прикидам -- торги нужно начинать с 1000 баллов. Ведь до этого столько лет никто не мог обнаружить. А это ставит под угрозу безопасность каждого из нас...
Ну и что ты, гад, успел у меня стырить, пока я твое сообщение читал?
Здравствуйте, 0K, Вы писали:
0K>По моим прикидам -- торги нужно начинать с 1000 баллов. Ведь до этого столько лет никто не мог обнаружить. А это ставит под угрозу безопасность каждого из нас...
0K>Какие есть идеи?
Зачем тогроваться? Воспользуйся уязвимостью и накрути себе хоть 10 000 баллов.
Надо поступить как профи. Написать кому следует и помочь исправить:
Тебе может быть жалко конечно что в этом случае не столько много людей узнают какой ты хакер, но тем не менее
Здравствуйте, Kubyshev Andrey, Вы писали:
KA>Тебе может быть жалко конечно что в этом случае не столько много людей узнают какой ты хакер, но тем не менее
Здравствуйте, 0K, Вы писали:
0K>Думал об этом. Но это годится разве что для прикола... Ведь довольно скоро обнаружат, дыру закроют, баллы анулируют да еще и забанят... Так что не годится.
А думаешь так не забанят?
IMHO, главное ты уже сказал -- дырка есть!
Теперь поторгуйся подольше, потом всё равно всё на тебя спишут...
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, der Igel, Вы писали:
DI>Здравствуйте, 0K, Вы писали:
0K>> Следовательно, могу стырить кукисы любого из вас и вы даже не узнаете об этом.
DI>Действительно не узнаем, так как кукисы HttpOnly и в нормальных браузерах из скрипта их не получить.
Все не так просто. HttpOnly обходится получением потрохов заголовка Set-Cookie через аяксовые getAllResponseHeaders() или getResponseHeader()
var req = null;
try { req = new XMLHttpRequest(); } catch(e) {}
if (!req) try { req = new ActiveXObject("Msxml2.XMLHTTP"); } catch(e) {}
if (!req) try { req = new ActiveXObject("Microsoft.XMLHTTP"); } catch(e) {}
req.open('GET', 'http://rsdn.ru', false);
req.send(null);
alert(req.getAllResponseHeaders());
алерт покажет тебе все заголовки запроса, и, в случае с IE == v6/v7/v8, FF < v3.5 и возможно, с некоторыми другими, там окажется и Set-Cookie у которых установлен httponly Гарантировано это не работает только в FF >=v3.5, Opera >= 9.0 и Chrome любых версий.
У меня есть идея-контрпредложение: сколько баллов ты готов отдать за то, чтобы броузер конкретно на твоем компе, сейчас не выполнил скрипт, эксплуатирующий 0-day уязвимость и выполняющий произвольный код с правами твоего пользователя?
Шучу конечно, но хочу напомнить, что в каждой шутке...
Здравствуйте, 0K, Вы писали:
0K>Теперь вопрос. Сколько баллов просить за отправку этой информации команде RSDN
0K>По моим прикидам -- торги нужно начинать с 1000 баллов. Ведь до этого столько лет никто не мог обнаружить. А это ставит под угрозу безопасность каждого из нас...
А зачем тебе баллы? Это же только иллюзия статуса
0K>Какие есть идеи?
Ну если ты так уж хочешь продать свои услуги — проси персональную подпись
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, Lloyd, Вы писали:
L>Зачем тогроваться? Воспользуйся уязвимостью и накрути себе хоть 10 000 баллов.
Думал об этом. Но это годится разве что для прикола... Ведь довольно скоро обнаружат, дыру закроют, баллы анулируют да еще и забанят... Так что не годится.
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>У меня есть идея-контрпредложение: сколько баллов ты готов отдать за то, чтобы броузер конкретно на твоем компе, сейчас не выполнил скрипт, эксплуатирующий 0-day уязвимость и выполняющий произвольный код с правами твоего пользователя?
* thriving in a production environment *
