Яндекс не спешит закрывать критические уязвимости - Форум об интернет-маркетинге
Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 17.04.2014, 11:03   #1
uid tracking
 
Аватар для SocFishing
 
Регистрация: 26.09.2013
Адрес: определяет
Сообщений: 530
Репутация: 43387
Социальные сети Страница в Одноклассниках Профиль в ВКонтакте Профиль на Хабрахабре Профиль в LinkedIn

Talking Яндекс не спешит закрывать критические уязвимости

Истории про бреши в системе безопасности крупных интернет-компаний всегда резонансные. Вполне логично, что после скандальных сообщений об утечке данных компании бегом лепят багфиксы, прикрывают дыры и рапортуют об устранении ЧП. Это вопрос репутации.

Хотелось бы думать, что всякий раз подобные «дырки» являются неприятным сюрпризом для компании, на устранение которых необходимо быстро реагировать. Однако, на практике получается не так.

Нами была обнаружена критическая XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») уязвимость на странице API. Яндекс. Ошибка допущена в примере вывода Rich Content API из-за слабой проработанности в безопасности при выводе информации о странице.



Все это чревато тем, что злоумышленник может накапливать куки пользователей, и впоследствии получать доступ к их аккаунтам.

Пример страницы:


Мы, будучи честными гражданами, сообщили о проблеме в раздел «Охота за ошибками» и надеялись получить выплату за ошибку в размере 5-10 т.р. Такие деньги гарантировано обещаются участникам конкурса "Охота за ошибками" за найденную XSS. Деньги смешные, но зато можно отметиться в зале славы.



Ответ компании нас, честного говоря, удивил. Оказывается, о данной уязвимости компании известно. Сколько времени аутентификационные данные пользователей светятся наружу, оценить сложно. Но сам факт того, что эта уязвимость признана, но компания не спешит решать проблему, удивляет.

Этим сообщением мы хотели бы обратить внимание пользователей Яндекса и самой компании на проблему. Мы рекомендуем до момента решения проблемы разлогиниться в сервисах Яндекса и не использовать их до официального уведомления об устранении критической уязвимости.
__________________
Сервис идентифицирует посетителей вашего сайта и предоставляет их профили ВКонтакте! Платный - Без кликджекинга и санкций.
SocFishing вне форума   Ответить с цитированием
Сказали спасибо 16 пользователей:

Реклама
Старый 17.04.2014, 11:36   #2
trwiz
Академик
 
Аватар для trwiz
 
Регистрация: 26.05.2007
Адрес: Москва
Сообщений: 1,347
Репутация: 121502

По умолчанию Re: Яндекс не спешит закрывать критические уязвимости

когда появятся иски к яндексу от пострадавших пользователей, тогда и закроют дыру =)
trwiz вне форума   Ответить с цитированием
Сказали спасибо:
Старый 17.04.2014, 12:01   #3
dan-pro
seo-тракторист
 
Аватар для dan-pro
 
Регистрация: 11.02.2012
Адрес: Moscow
Сообщений: 126
Репутация: 6236
Отправить сообщение для dan-pro с помощью ICQ Отправить сообщение для dan-pro с помощью Skype™

По умолчанию Re: Яндекс не спешит закрывать критические уязвимости

Именно поэтому, мы еще вчера ушли к гуглу)
dan-pro вне форума   Ответить с цитированием
Старый 17.04.2014, 12:40   #4
saykel
Профессор
 
Регистрация: 04.04.2009
Сообщений: 749
Репутация: 13916

По умолчанию Re: Яндекс не спешит закрывать критические уязвимости

может это чьято кормушка..
СБ должна же когонить отлавливать
saykel вне форума   Ответить с цитированием
Старый 17.04.2014, 12:47   #5
foxi
Mik Foxi
 
Аватар для foxi
 
Регистрация: 03.03.2011
Адрес: Budva
Сообщений: 8,625
Репутация: 974567

По умолчанию Re: Яндекс не спешит закрывать критические уязвимости

ну вот, спалили, и как теперь тырить с яндекс денег бабло если закроют? )))
foxi вне форума   Ответить с цитированием
Старый 17.04.2014, 12:50   #6
awasome
Академик
 
Регистрация: 20.08.2010
Сообщений: 8,256
Репутация: 971872

По умолчанию Re: Яндекс не спешит закрывать критические уязвимости

Цитата:
Сообщение от dan-pro Посмотреть сообщение
Именно поэтому, мы еще вчера ушли к гуглу)
А мы нисколечко не против
awasome вне форума   Ответить с цитированием
Старый 17.04.2014, 14:18   #7
Ladycharm
Академик
 
Регистрация: 07.12.2007
Сообщений: 4,145
Репутация: 1064382

По умолчанию Re: Яндекс не спешит закрывать критические уязвимости

Цитата:
Сообщение от SocFishing Посмотреть сообщение
Мы, будучи честными гражданами, сообщили о проблеме в раздел «Охота за ошибками» и надеялись получить выплату за ошибку в размере 5-10 т.р.
SocFishing, забей.

Та же фигня была с DrWeb - у меня лицензионный, обновляется как положено. Пролез вирус, был отловлен руками.
Руками обновила антивирусные базы - всё-равно не ловит его DrWeb. Проверила на virustotal.com - тамошняя версия ДрВеб тоже не ловит.

Прислала его в DrWeb со ссылкой на virustotal и что на текущий момент лицензионный DrWeb его не ловит.

Ответ - этот вирус нам известен, обновите свои антивирусные базы. Даже спасибо не сказали, что человек потратил своё время, чтобы улучшить их продукт.
В следующий раз время своё тратить не стану, проще антивирус сменить, если перестанет устраивать.
Ladycharm вне форума   Ответить с цитированием
Сказали спасибо:
Старый 17.04.2014, 14:37   #8
SocFishing
uid tracking
 
Аватар для SocFishing
 
Регистрация: 26.09.2013
Адрес: определяет
Сообщений: 530
Репутация: 43387
Социальные сети Страница в Одноклассниках Профиль в ВКонтакте Профиль на Хабрахабре Профиль в LinkedIn

ТопикСтартер Re: Яндекс не спешит закрывать критические уязвимости

Дело в тому, что уязвимость закрыть - 30 мин. Она уже 3 дня как известна нам и известна по ответу яндекса еще кому-то. Сейчас она известна > 300 людям, но по прежнему она не закрыта.

Если прямая угроза кражи личной информации из сервисов яндекса. Нужно всего лишь составить определенную ссылку с обработчиком и направить её по целевым контактам. Как пример по контактам, которые используют почту яндекс для регистраций доменов и тд.

Пример ссылки: http://api.yandex.ru/rca/?url=http://domain.ru где в index:
Код:
<title>1<script>alert();</script>1</title>
Придут куки, все это подставляется в браузер и готово, восстанавливаем домены на себя. Метод стар как мир, но все же актуален и по сей день.

Ps: самое интересное, у гугла мы знаем несколько XSS средней значимости, которым несколько лет. Так что XSS на данный момент самый распространенный и дешевый метод кражи. перс. информации.

Последний раз редактировалось SocFishing; 17.04.2014 в 14:48..
SocFishing вне форума   Ответить с цитированием
Старый 17.04.2014, 14:51   #9
Silveo
Профессор
 
Аватар для Silveo
 
Регистрация: 30.11.2010
Адрес: Безлюдный остров Крым
Сообщений: 704
Репутация: 44840
Отправить сообщение для Silveo с помощью ICQ

По умолчанию Re: Яндекс не спешит закрывать критические уязвимости

Цитата:
Сообщение от SocFishing Посмотреть сообщение
Дело в тому, что уязвимость закрыть - 30 мин. Она уже 3 дня как известна нам и известна по ответу яндекса еще кому-то. Сейчас она известна > 300 людям, но по прежнему она не закрыта.

Если прямая угроза кражи личной информации из сервисов яндекса. Нужно всего лишь составить определенную ссылку с обработчиком и направить её по целевым контактам. Как пример по контактам, которые используют почту яндекс для регистраций доменов и тд.

Пример ссылки: http://api.yandex.ru/rca/?url=http://domain.ru где в index:
Код:
<title>1<script>alert();</script>1</title>
Придут куки, все это подставляется в браузер и готово, восстанавливаем домены на себя. Метод стар как мир, но все же актуален и по сей день.

Ps: самое интересное, у гугла мы знаем несколько XSS средней значимости, которым несколько лет. Так что XSS на данный момент самый распространенный и дешевый метод кражи. перс. информации.
А можно подробнее, что куда вставлять
__________________
Больше всего в жизни люблю: справедливость, порядочность, обязательность.
Silveo вне форума   Ответить с цитированием
Старый 17.04.2014, 14:55   #10
SocFishing
uid tracking
 
Аватар для SocFishing
 
Регистрация: 26.09.2013
Адрес: определяет
Сообщений: 530
Репутация: 43387
Социальные сети Страница в Одноклассниках Профиль в ВКонтакте Профиль на Хабрахабре Профиль в LinkedIn

ТопикСтартер Re: Яндекс не спешит закрывать критические уязвимости

Цитата:
Сообщение от Silveo Посмотреть сообщение
А можно подробнее, что куда вставлять
Нет, нам проблемы не нужны. Вы можете разобраться сами, в этом нет ничего сложного
SocFishing вне форума   Ответить с цитированием
Ответ

Метки
xss , yandex




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 19:57. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны