Вебпланета - Яндекс.Директ начал принимать украинские гривны - Comments

Толку-то

http://gong.livejournal.com/ — Thu, 31 May 2007 13:29:53 +0400

Толку-то фиксить.

Моё скромное, дилетанское мнение, таково: сколько кондом не штопай, всё одно красиво не получится.

Посмотрел я список вакансий Яндекса. Неописуемая на словах красота, мощные тестовые задания, все дела. И как-то всё это великолепие контрастирует с элементарными кариесными дырками.

Прожить-то можно, и проблемы основные - только от гундосых бездельников на пиар-помойках?

Если при разработке системы изначально не закладывалась идея душить XSS, то латание дыр будет всё более болезненным и всё более бесполезным.

Sergeax сколько угодно может промотировать службы Яндекса, но вот этот контраст между внешней помпезностью и внутренней неаккуратностью лично меня от сервисов Яндекса отталкивает. При всём моём к нему уважении.

В Яндексе хоть понимают, что из этого скромного списка http://company.yandex.ru/inside/job/index.xml сразу видны слабые места, куда можно целенаправленно бить?

"Разработчик системы авторизации (Perl)"

Спасибо

kukutz — Thu, 31 May 2007 12:25:39 +0400

Спасибо большое, фиксим.

Можно.

http://gong.livejournal.com/ — Tue, 29 May 2007 23:34:49 +0400

Можно. Проверяем:

https://passport.yandex.ru/passport?mode=auth

*хрям-хрям*покоцано*цензурой*

Пишем это дело в логине. Пароль произвольный. Войти. Нас отрубили. Пробрасываемся на вторую страницу. Вводим имя пользователя. TAB (перескакиваем в пароль). Попап выскакивает с именем пользователя?

В 20-х числах мая - выскакивал, сейчас проверять лень.

Если вылезает - значит, можно открывать фишинговый сайт, и вместо алерта, например, вызывать передавать через GET соответствующие форм values КудаНадо. Дальше подогнать трафа с людей, у которых есть на ЯДе логины.

Дальше, на последнем шаге, понятно что делать?

Или надо proof of concept разжевать детальнее?

to kukutz Кукудз, а

Jack — Mon, 28 May 2007 19:50:24 +0400

to kukutz

Кукудз, а шо ты работаешь как слесарь-сантехник-шабашник, что у тебя в яндексе столько дыр, что везде течёт ???

А кому охота, чтобы его денежки уплыли на лево ???

Ты давай братуха старайся по работе, а не понтуйся своей кармой на тусовке :-)

Ой, а можно

kukutz — Mon, 28 May 2007 19:22:16 +0400

Ой, а можно подробностей?

Например, на kukutz@yandex-team.ru

Когда

http://gong.livejournal.com/ — Sat, 26 May 2007 03:00:48 +0400

Когда Яндекс.Паспорт починит дыры в XSS?

Стрёмно же пользоваться.

Яндекс.Директ начал принимать украинские гривны

admin — Fri, 25 May 2007 10:12:09 +0400

Система размещения контекстной рекламы Яндекс.Директ начала принимать моментальные платежи от пользователей украинского интернета.