Comments 57
Можно попробовать украсть куки у злоумышленника — на фишинговом сайте есть XSS:
_http://yadrex.ru/error.php?login='"><_script>alert('XSS!');</_script>
(Для того, чтобы обойти парсер хабра пришлось добавить "_").
_http://yadrex.ru/error.php?login='"><_script>alert('XSS!');</_script>
(Для того, чтобы обойти парсер хабра пришлось добавить "_").
Так давно не видел фишинговых писем, в которых бы не было орфографических или пунктуационных ошибок.
UFO just landed and posted this here
Объяснитесь, плз. Просто я там вижу ровно 1 пунктуационную ошибку и никаких «запятых, абы как накиданных». Чего не скажешь о вашем сообщении, кстати.
(задумчиво)
А хостер-то тут при чём?
Я (как человек, работающий в хостинговой компании) каждый раз негодуэ — зачем упоминать хостера в столь негативном контексте? Я понимаю, если бы они на abuse не отреагировали или было показано, что они «знают и терпят».
А хостер-то тут при чём?
Я (как человек, работающий в хостинговой компании) каждый раз негодуэ — зачем упоминать хостера в столь негативном контексте? Я понимаю, если бы они на abuse не отреагировали или было показано, что они «знают и терпят».
По-моему фишинг уже очень сильно устарел. Теперь любой школьник знает, как отличить фишинговый сайт от настоящего.
Извините, не согласен.
Для многих /простых/ людей, yandex@ya.corp.ru (даже если они туда и посмотрят), выглядит вполне респектабельно. И так будет продолжаться ещё долго, потому что простой пользователь очень далёк от этих «тонкостей». Как бы нам, айтишникам, ни хотелось обратного.
Для многих /простых/ людей, yandex@ya.corp.ru (даже если они туда и посмотрят), выглядит вполне респектабельно. И так будет продолжаться ещё долго, потому что простой пользователь очень далёк от этих «тонкостей». Как бы нам, айтишникам, ни хотелось обратного.
Однако, это очень популярный способ угона почтовых аккаунтов. Почти все злоумышленники, предоставляющие услуги по угону E-Mail пользуются фишингом. Уязвимости в почтовых сервисах сложно искать (особенно, с появлением вознаграждения за уязвимость. Пример: Google платит вроде даже за редиректы. Яндекс недавно проводил конкурс по поиску уязвимостей, так там много XSS нашли).
Не поверите, огромное количество пользователей ПК не знают, что такое адресная строка. И считают интернетом страничку яндекса, которая открывается стартовой в браузере. А еще я на днях любопытства ради скачал программку lamescan и обнаружил, что огромное количество людей не спасет даже чудо.
«Очередной способо получения кукисов от почты. При нажатии на кнопку отправляется запрос на сниффер по адресу: h_ttp://yadrex.ru/sn/s.рhp»
Если передаются куки — значит используется XSS уязвимость. Но, судя по остальному тексту, это просто редирект на фейк (фишинговый сайт).
Панель управления запрашивает имя/пароль. Как вы узнали, что это панель управления?
Firefox опознает сайт как фишинговый.
Firefox опознает сайт как фишинговый.
Вот. А потому что веб-формы в онлайн-почте — это в принципе дыра в безопасности.
В письме нужно вырезать весь скрипт и формы. Увы. Иначе вот такое никогда не кончится.
А ссылки надо «переписывать» через внутренний редирект, который «обнуляет» куки.
В письме нужно вырезать весь скрипт и формы. Увы. Иначе вот такое никогда не кончится.
А ссылки надо «переписывать» через внутренний редирект, который «обнуляет» куки.
Просьба минисующих прокомментировать свою точку зрения. Спасибо.
Бестолку. Кто мешает просто URL в письмо поместить с тем же эффектом?
Вы невнимательно читали:
ссылки надо «переписывать» через внутренний редирект, который «обнуляет» куки
1. сторонний домен итак не получит доступа к информации из cookie для другого домена (браузерное ограничение)
2. после «обнуления» cookie пользователю снова нужно авторизовываться на изначальном сайте, что неудобно
Так что, обнулять cookie совсем нет никакой нужды (пункт 1), а вернее, это совсем глупо (пункт 2).
2. после «обнуления» cookie пользователю снова нужно авторизовываться на изначальном сайте, что неудобно
Так что, обнулять cookie совсем нет никакой нужды (пункт 1), а вернее, это совсем глупо (пункт 2).
Что такое редирект, обнуляющий куки? Вы имели ввиду рефферер?
Да, вроде того.
Но выше хабраюзер crizis показал, что я был не прав, и в таком редиректе нет смысла. С чем, подумав, я и согласился.
Но выше хабраюзер crizis показал, что я был не прав, и в таком редиректе нет смысла. С чем, подумав, я и согласился.
Лог доставил. /sn/log.php
Хм…
yadrex.ru/mail/
yadrex.ru/mail/
И не ужели скрипт из текста письма отрабатывается? (проверьте кто-нибудь в пределах своего аккаунта)
Если да, то это уже не фишинг, а XSS на Яндексе и это совсем другая песня.
Будет интересно, если это действительно ненайденная XSS в рамках конкурса на ZeroNights.
Если да, то это уже не фишинг, а XSS на Яндексе и это совсем другая песня.
Будет интересно, если это действительно ненайденная XSS в рамках конкурса на ZeroNights.
Спасибо за информацию. Кто предупрежден, тот вооружен.
Оповестил специалистов из Netcraft. Они уже прислали ответ о внесении yadrex'а в список фишинговых. И проставил рейтинги в Web of Trust.
Судя по нестандартным аттрибутам formaction и formtarget, видимо используется уязвимость в скриптах Яндекса, которые их обрабатывают? Очень интересный вид атаки, первый раз с таким сталкиваюсь. Ведь сейчас многие JS-фреймворки все больше и больше используют аттрибуты типа data-* для определения поведения элемента, и это открывает новые векторы атаки на приложения.
Непосредственно в Яндекс сообщили о найденной проблеме или сразу побежали писать на Хабр?
Да
Обозначил как спам, отписал в поддержку, опубликовал на хабре, отправил письмо хостеру.
Сначала дожидаются ответа от самого сервиса (в данном случае — Яндекс) и обычно не менее недели.
Если это все же действительно XSS (про которую вы так и ничего не сказали/не проверили, без этой информации топик «ни о чем») — то можете посыпать голову пеплом.
Если это все же действительно XSS (про которую вы так и ничего не сказали/не проверили, без этой информации топик «ни о чем») — то можете посыпать голову пеплом.
-Ответь мне, только честно да или нет, хорошо?
-Хорошо.
-Почему мужчины считают блондинок глупыми?
-Да
(с) башорг
-Хорошо.
-Почему мужчины считают блондинок глупыми?
-Да
(с) башорг
Новый адреса: _http://yandex.authorised.ru/, mail.authorised.ru/ etc.
Старые домены уже в фишинг листах
Старые домены уже в фишинг листах
Простите, конечно, но что это делает на хабре?
Я бы понял, если бы Хабр был обычным форумом, но здесь, всё таки, собираются умные люди, которые должны бы достаточно хорошо разбираться в том, где следует вводить свой пароль, а где — нет.
Единственное применение такой статьи на Хабре: предупредить SEOшников, ибо такие действительно могут повестись. Неужели вы так беспокоитесь о представителях этой профессии?
Я бы понял, если бы Хабр был обычным форумом, но здесь, всё таки, собираются умные люди, которые должны бы достаточно хорошо разбираться в том, где следует вводить свой пароль, а где — нет.
Единственное применение такой статьи на Хабре: предупредить SEOшников, ибо такие действительно могут повестись. Неужели вы так беспокоитесь о представителях этой профессии?
UFO just landed and posted this here
Приходят фишинговые письма?
Хватит это терпеть!
Хватит это терпеть!
Sign up to leave a comment.
Очередные фишинговые письма (или Как уводят пароли от почты на Яндексе)