Хабрахабр / Комментарии к посту «XSS вконтакте» в блоге «Информационная безопасность»

19.06.2009 13:08:23 Bonch

Bonch — Fri, 19 Jun 2009 13:08:23 GMT

Эхх. А я успел при помощи этой атаки поприкалываться на другом (менял статус у него).
Хотел было приколоться, сделать сервис «Залогинься на любой аккаунт вконтакта». Не успел :)

19.06.2009 08:21:19 Grawl

Grawl — Fri, 19 Jun 2009 08:21:19 GMT

вот и выплыл очередной способ заработка вконтакта.
или вконтакт поддерживает какой-нибудь сумасшедший и щедрый миллионер / РФ?
или нет?

18.06.2009 12:24:34 egorinsk

egorinsk — Thu, 18 Jun 2009 12:24:34 GMT

Вы считаете, что винду надо сделать в стиле vi? С простым и понятным даже новичку интерфейсом?

У нее сейчас то интерфейс непонятный, без толстенного мануала не разберешься. а vi вообще человеку нормальному не осилить.

18.06.2009 07:14:31 lomalkin

lomalkin — Thu, 18 Jun 2009 07:14:31 GMT

vkontakte.ru/id4052768 не только скрин =)

18.06.2009 06:36:12 ainu

ainu — Thu, 18 Jun 2009 06:36:12 GMT

Доступ, например, к картинкам как файлам сделан правильно (то, что любой может открытьлюбой файл — картинку). Если прогонять всю медию через серверный скрипт, у них всё там поляжет.

18.06.2009 06:33:42 ainu

ainu — Thu, 18 Jun 2009 06:33:42 GMT

скрин? сохранился?

18.06.2009 06:30:50 ainu

ainu — Thu, 18 Jun 2009 06:30:50 GMT

Я делаю alert(1)

18.06.2009 06:25:47 ainu

ainu — Thu, 18 Jun 2009 06:25:47 GMT

Винда? Да ну бросьте, не всегда старый код плох. Или то, что vi уже 33 года, уже не аргумент?

18.06.2009 04:36:14 Somadhy

Somadhy — Thu, 18 Jun 2009 04:36:14 GMT

Ну так обидно купить эпл, в двое заплатить против писи и не получить ничего реально выдающегося. (:

17.06.2009 21:19:07 p4s8x

p4s8x — Wed, 17 Jun 2009 21:19:07 GMT

Вы определенное редко посещаете контакт) Такое стабильно присылается раз в неделю мне ну и посылается далее -на***- в спам без прочтения. Ну… контакт тот еще дуршлаг)) Хотя у меня всегда складывается ощущение, что большенство, так называемых багов там, сделаны специально) например доступ к закрытым фотоальбомам видео и прочь), но конешно эта дыра к такого рода не относится…

17.06.2009 21:08:45 blackst0ne

blackst0ne — Wed, 17 Jun 2009 21:08:45 GMT

Майкрософту выгодно выпускать Windows с багами, ведь можно будет продать следующую версию Windows, которая безопаснее, удобнее и современнее.

17.06.2009 19:17:25 navix

navix — Wed, 17 Jun 2009 19:17:25 GMT

Это сайт Пашки Дурова, учитывая направление его развития, его не сервис интересует, а купоны.

17.06.2009 19:03:27 Infthi

Infthi — Wed, 17 Jun 2009 19:03:27 GMT

для наибольшей безопасности нужен nohtml <_<

17.06.2009 18:26:28 Kastrulya

Kastrulya — Wed, 17 Jun 2009 18:26:28 GMT

потому что из приватов в массы вышла.

17.06.2009 17:11:38 leomac

leomac — Wed, 17 Jun 2009 17:11:38 GMT

да, вы правы, я перепутал сообщения. В феврале говорилось о какой-то другой уязвимости. Сабжевая упоминается в начале июня

17.06.2009 16:52:15 citrin

citrin — Wed, 17 Jun 2009 16:52:15 GMT

document.cookie…

Если бы они использовали httponly куки для авторизации, то как минимум не пострадали бы пользователи браузеров поддерживающих такие куки:
www.owasp.org/index.php/HTTPOnly

Странно что кто то для session id еще использует куки без httponly. Может я чего то не знаю и на это есть причины?

17.06.2009 16:25:43 lomalkin

lomalkin — Wed, 17 Jun 2009 16:25:43 GMT

Ну я нигде не сказал что «noscript не нужен», я просто объяснил почему это не является настоящим решением проблемы, и рассказал почему не пользуюсь сам. Раз существует — значит это действительно кому-то нужно, но и не обязательно что нужно сразу всем.

17.06.2009 16:11:44 pento

pento — Wed, 17 Jun 2009 16:11:44 GMT

Ваши бы принципы да веб-разработчикам в уши. Вот оно и решается допустим на том же «В контакте». Решается долго, а в это время происходят атаки, описанные вами же. Пользователям ждать, когда же наконец-то разработчик исправить XSS и «не пользоваться интернетом»? Никто не отрицает того факта, что надо исправлять на стороне сервера, но время обнаружения/исправления/тестирования обычно не такое маленькое как вы себе видимо представляете. Noscript помогает как раз в этот промежуток (когда разработчик наконец-то додумается исправить баг) пользователям избежать атаки.

17.06.2009 16:10:54 mumia

mumia — Wed, 17 Jun 2009 16:10:54 GMT

обвините тойоту что украли у форда идею движущийся тележки на четырех колесах…

17.06.2009 16:09:12 varyen

varyen — Wed, 17 Jun 2009 16:09:12 GMT

И только мне начало казаться, что разрабы вконтактика научились на собственных ошибках и стали их меньше делать…

17.06.2009 16:07:09 nrdcp

nrdcp — Wed, 17 Jun 2009 16:07:09 GMT

Скорее всего имелось ввиду CMMI For Development Maturity Level 5, который крайне тяжело получить.

17.06.2009 16:02:21 init0

init0 — Wed, 17 Jun 2009 16:02:21 GMT

17.06.2009 15:38:43 lomalkin

lomalkin — Wed, 17 Jun 2009 15:38:43 GMT

Ну как минимум я не один «такой умный» =)
И почему-то кажется что хоть одним глазком его читают все. Хотябы тему сообщения.

17.06.2009 15:34:44 lomalkin

lomalkin — Wed, 17 Jun 2009 15:34:44 GMT

Согласен, но в данном случае: Думаю мало кто возьмется спорить с тем при использовании последних версий постоянно развивающихся альтернтивных браузеров выполнение кода на локальной машине практически исключено. С учетом также моего патологически-параноидального отношения к авторанам на флешках, левым экзешникам, с наличием на компьютере продуктов, организующих безопасность на нем в конце концов… Ну следуя из всего этого я так заключил. Все чисто, разве что не блестит =)

17.06.2009 15:29:34 pdev

pdev — Wed, 17 Jun 2009 15:29:34 GMT

Как вы заебали сунуть свой эппл и ругать винду. Разговор вообще не об этом

17.06.2009 15:28:43 hobbit19

hobbit19 — Wed, 17 Jun 2009 15:28:43 GMT

интересно много ли хаброюзеров читают спам приходящий в ящик вкантакте?

17.06.2009 15:23:39 Tr0y

Tr0y — Wed, 17 Jun 2009 15:23:39 GMT

Судя по тому, что вы перешли по ссылке от явно спам письма, то об этой фразе «Комп кристально чист и не заразен…», можно забыть.

17.06.2009 15:20:17 hooey

hooey — Wed, 17 Jun 2009 15:20:17 GMT

Странно что полгода, ведь gsearch.php появился буквально пару месяцев назад.

17.06.2009 15:10:55 lomalkin

lomalkin — Wed, 17 Jun 2009 15:10:55 GMT

Про штукатурку понравилось =)

17.06.2009 15:08:12 lomalkin

lomalkin — Wed, 17 Jun 2009 15:08:12 GMT

Кто ищет — тот найдет ;)

17.06.2009 15:07:23 la0

la0 — Wed, 17 Jun 2009 15:07:23 GMT

На самом деле: чем популярнее продукт, тем больше уязвимостей в нем найдут.
Будь это сайт, машина, телефон(привет iphone с псевдоуязвимостью), самый банальный справочник/учебник.
По сколько раз их переиздают/пересоздают? и, заметте, не просто так.
Это нормальный процесс. Отвалилась штукатурка, закрасили

17.06.2009 15:06:58 lomalkin

lomalkin — Wed, 17 Jun 2009 15:06:58 GMT

Виноват кто? В обеспечении безопасности своего ресурса виноват вконтакт, в обеспечении же своей собственной безопасности, а также в нарушении психического здоровья моих друзей в результате спам-рассылки — виноват я сам =)

Насчет фреймов. Встречал я вот такой кусочек кода:

var iframe = document.createElement('IFRAME');
//have the IFRAME download the content we want to steal
iframe.src = 'http://site.com/AddressBook.php);
//make the IFRAME invisible
iframe.style=«width:0px; height:0px; border: 0px»
//set our function to call when the IFRAME is done loading
iframe.onload = callbackFunction;
//now add the IFRAME to the DOM.
Document.body.appendChild(iframe);

Это к слову для организации CSRF. Получается можно загружать и с разных хостов.

17.06.2009 15:06:15 iseg

iseg — Wed, 17 Jun 2009 15:06:15 GMT

roem.ru/2009/04/25/addednews10574/
… durov 25.04.2009 21:55:48 #… Взламывают через фишинговые сайты, как и везде…
… durov 26.04.2009 07:56:36 #… был слив паролей с сайта free-lance.ru…

ну и т.д.

17.06.2009 14:55:30 brainfucker

brainfucker — Wed, 17 Jun 2009 14:55:30 GMT

Да дыру закрыли, а ведь даже жаль… =)

17.06.2009 14:53:23 kingoleg

kingoleg — Wed, 17 Jun 2009 14:53:23 GMT

Вот так и я удалился из Одноклассников. Позорище хуже ВКонтакте.

17.06.2009 14:50:59 slesar

slesar — Wed, 17 Jun 2009 14:50:59 GMT

> И тут понимаю, что мое природное любопытство подвело меня и в этот раз. Вчера аналогичное сообщение пришло мне, ну и естественно, сидя на опере, чуствуя себя в безопасности я перешел по этой ссылке.

Я что-то не пойму, кто все-таки виноват? Если я ногой случайно сетевой фильтр выключу — это майкрософт виноват, что я под виндой работаю?

А вообще опера вроде частично блочит джаваскрипт между фрэймами с разными доменами?

17.06.2009 14:44:28 Mezomish

Mezomish — Wed, 17 Jun 2009 14:44:28 GMT

Кстати, да. От жены таким же образом рассылались сообщения чуть ли не полгода назад. После краткой лекции «не ходить по левым ссылкам и т.д.» и смены пароля — более не повторялось.

А вот у её знакомой в одноглазниках было ещё интереснее: аналогичный спам, но разным людям — разный, причём сделано просто офигенно, и выглядит как продолжение переписки (с цитированием и более-менее осмысленным комментарием), после которого идёт «кстати, я тут в конкурсе участвую, бла-бла-бла....». Самое интересное — конкурс от самих одноглазников. Что ещё интереснее — через пару дней письма самопроизвольно удалились.

17.06.2009 14:43:42 Saburovo

Saburovo — Wed, 17 Jun 2009 14:43:42 GMT

Ага, некогда — монетизацией, бедные, занимаются :)

17.06.2009 14:41:39 r0b1n

r0b1n — Wed, 17 Jun 2009 14:41:39 GMT

ага, видать закрыли.

17.06.2009 14:34:20 lomalkin

lomalkin — Wed, 17 Jun 2009 14:34:20 GMT

Точно. По крайней мере пример из статьи перестал работать… Неужели зашевелились?