Тут проблема не в доверии к входным данным а немного глубже. Дело в том что при использовании действий которые должны заморживать браузер (модальные окна, синхронные функции) IE продолжает обрабатывать сетевые запросы, что и создало возможность для обмана SOP.
Боюсь что я слишком молод чтобы оценивать ситуацию во времена IE5, IE5.5 и IE6. Но с точки зрения безопасности (опять же с учётом современных реалий) там было всё несколько печально.
Да я не о том что IE внезано стал супер-защищённым-браузером. Я к тому что из чего-то что трудно назвать браузером (IE7 и ниже) им удалось сделать что-то более-менее вразумительное, что немного противоречит тезису «воз все там же». В IE8 добавили неплохой XSS Filter, который после нескольких итераций стал очень даже интересным. Я лично уделил довольно много времени попыткам обхода этого фильтра, поэтому всё вышенаписанное — личное субъективное мнение.
Но это никак не относится в данному посту. Тут конечно огромный фейл.
Вы сами в тегах указали privilege escalation, что OWASP определяет как атаку на систему, используюзую ошибки безопасности (OWASP-AZ-003). В любом случае это нарушение конфиденциальности информации, и, на мой взгляд, следует оповестить службу поддержки.
Вы будете удивлены, но именно сам Paul Axe это и переводил. Жаль что вы не поняли, про английскую версию Paul Axe слышал отзывы, что всё понятно расписано. На русском, возможно, хуже получилось, следовательно ему есть над чем поработать.
По поводу вопросов:
1. Я тоже не понимаю почему разработчики считают, что возможность контролирования вызываемой функции без возможности изменять параметры безопасна. Я не считаю это безопасным. По поводу как сделать из этого XSS — метод как раз описан в этой статье (оно же Reverse Clickjacking).
2. Не назвал бы это Self XSS. Если фид поддерживает комментарии, то ссылку можно оставить в комментариях. Или же если есть возможность влиять на источник фида, что тоже вполне реально, ибо почти все поддерживают комментарии. По крайней у Google Security Team не возникло сомнений в том что это Self XSS.
Я поэтому и не выкладывал в паблик, ибо слишком много персональных данных, пострадают пользователи. После праздников попробую ещё раз написать, и если не ответят то познакомлюсь с роскомнадзором (=
У меня уже примерно полгода есть доступ к базе отечественного магазина nokia, которая содержит ФИО, телефоны покупателей и некоторые другие данные. Писал в поддержкуи nokia — этот сайт вне их компетенции. Писал по контактам на сайте — молчание.
Но в этом случае всё ещё хуже, так как в оригинале всё корректно, чего нельзя сказать про перевод.
ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D0%BA%D0%BE%D0%B4%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F
ru.wikipedia.org/wiki/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5
ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%84%D1%83%D1%81%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_(%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D0%BE%D0%B5_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5)
Вы уверены что FreeBSD 8.3 каким-то образом могла быть связана с взломом AR.Drone?
Подробнее:
innerht.ml/blog/ie-uxss.html
Но это никак не относится в данному посту. Тут конечно огромный фейл.
www.smrrd.de/criticism-revisiting-xss-sanitization.html
Подробнее: www.its.fh-muenster.de/owasp-appseceu13/rooms/Aussichtsreich_+_Freiraum/high_quality/OWASP-AppsecEU13-EduardoVela-Matryoshka_720p.mp4
По поводу вопросов:
1. Я тоже не понимаю почему разработчики считают, что возможность контролирования вызываемой функции без возможности изменять параметры безопасна. Я не считаю это безопасным. По поводу как сделать из этого XSS — метод как раз описан в этой статье (оно же Reverse Clickjacking).
2. Не назвал бы это Self XSS. Если фид поддерживает комментарии, то ссылку можно оставить в комментариях. Или же если есть возможность влиять на источник фида, что тоже вполне реально, ибо почти все поддерживают комментарии. По крайней у Google Security Team не возникло сомнений в том что это Self XSS.