How to become an author
Search
Write a publication
Pull to refresh

Comments 67

в представленном скрине кармы голосов 60, а на данный момент у вас 8 голосов. Как?
Total votes 5: ↑3 and ↓2 +1
Воспользовался обнулением кармы.
Total votes 37: ↑37 and ↓0 +37
Кстати можно было еще как вариант впихнуть img в профиль а картинку залить на свой сервер с правильным .htaacess и туда заинклудить ваш запрос при помощи php.
Total votes 13: ↑4 and ↓9 -5
UFO just landed and posted this here
Я не воспользовался этой уязвимостью. Да, дурак.
Total votes 36: ↑36 and ↓0 +36
UFO just landed and posted this here
Тогда бы НЛО вас не простило. А так вы стали героем)
Total votes 10: ↑10 and ↓0 +10
На самом деле для кросс-доменных запросов очень удобно использовать расширения в Google Chrome, так как там они разрешены.
Total votes 4: ↑2 and ↓2 0
Я буду просить об этом жертву? Поставьте, мол, такое то расширение, а то я не могу вас атаковать!
Total votes 6: ↑6 and ↓0 +6
Достаточно написать удобное расширение для пользователей хабра, которое, заодно, будет и автору карму поднимать.
This comment wasn’t rated yet 0
В таком случае всё становится очень просто и не интересно. Я за спортивный взлом!
Total votes 1: ↑1 and ↓0 +1
расширения для chrome легко разбираются и рано или поздно, а скорее рано его бы вычислили.
Total votes 2: ↑2 and ↓0 +2
ой, немного не в тему получился комментарий, не до конца врубился в начале )
Но все равно кому то пригодится )
This comment wasn’t rated yet 0
При голосовании всяко передаются кукисы с идентификатором сессии, заголовок X-Requested-With можно передать и в форме, и еще вы забыли сказать, что те пользователи, от имени которых идет скрытное голосование, должны быть авторизованы на хабре.
Total votes 1: ↑0 and ↓1 -1
Кукисы передаются. Люблю Flash!
This comment wasn’t rated yet 0
Я не понял, почему у вас 404 ошибка получалась. Видимо, просто не все POST параметры передавали. Тут нет никакой разницы Ajax это запрос или нет.
Total votes 3: ↑1 and ↓2 -1
404 потому что разработчики Хабра с юмором. На многие страницы, если у вас нет к ним доступа, даётся эта ошибка.
Total votes 4: ↑2 and ↓2 0
При прочтении вашего комментария, из-за «404» в начале, подсознательно показалось, что его amarao написал :)
Total votes 7: ↑7 and ↓0 +7
Кстати разница есть. Как раз об этом и была статья — вы пропустили главное :-)
Total votes 2: ↑2 and ↓0 +2
Мне deniskin за сообщение об уязвимости уже дал один ещё несколько дней назад.
Total votes 6: ↑6 and ↓0 +6
А разве нельзя curl-ом послать нужные хэдэры? Или через JSONP.
Total votes 4: ↑2 and ↓2 0
Нет, т.к. нужны Cookie пользователя.
Total votes 2: ↑2 and ↓0 +2
Я тоже сначала подумал в этом же духе. Но как то забылось, что атака то ведется через браузер жертвы. Поэтому получить куки с него мы не можем. И сформировать нужный заголовки тоже. Точнее не могли если бы не флеш.
This comment wasn’t rated yet 0
А на referer проверки тож не идёт? Зря помом, зря. А то, как тут говорили, можно подделать с помощью всяких аддонов. referer конечно тоже подделать можно, но всё ж…
This comment wasn’t rated yet 0
Я не знаю, но лишним не будет. Я только точно знаю, что проверяется X-Requested-With.
This comment wasn’t rated yet 0
Теперь это пост любви к django.middleware.csrf.CsrfViewMiddleware
Total votes 12: ↑10 and ↓2 +8
Мне интересно, чем думают люди, которые так легко, одним движением руки, разрешают кроссдоменные запросы с любого сервера? Что у них в голове? или это орудует то самое новое поколение кодеров, которое привыкло бездумно копипастить файлы и куски кода из интернета? Впрочем, я никогда и не считал флешеров настоящими программистами, мышкой квадратики перетаскивать-то много ума не надо.

Total votes 49: ↑6 and ↓43 -37
На самом деле разработчики Хабра мне показались людьми хорошими. А разрешение они это дали, будете смеяться, для рекламы :-). (И ещё для habrastorage).
А многие Flash-программисты пишут всё в коде, без «квадратиков». Точно знаю, что так пишут программисты ВКонтакте.
Total votes 14: ↑13 and ↓1 +12
прочитав статью — первым делом захотел проверить именно habrastorage. посмотрел crossdomain, cookie, whois — все в порядке… потом увидел этот комментарий)) спасибо за пост!
This comment wasn’t rated yet 0
вы слышали о таком понятии, как API на сайтах?
уязвимость закрывать надо было, а не кросс-домен перекрывать. сам по себе последний безопасен.
Total votes 1: ↑1 and ↓0 +1
При чем тут уязвимость? Что вы за бред пишете? Если вы размещаете на своем сайте crossdomain.xml с allow-access-from = "*", вы открываете всем хакерам доступ к своему сайту. Это не уязвимость, так как это поведение документировано Adobe. Это халатность и безответственность скорее.
Total votes 23: ↑2 and ↓21 -19
> Если вы размещаете на своем сайте crossdomain.xml с allow-access-from = "*", вы открываете всем хакерам доступ к своему сайту

ЛОЛШТО? :)
Total votes 25: ↑25 and ↓0 +25
разработчики хабра надеятся на отсутствие XSS? почему нельзя было встроить защиту от CSRF, а не перекрывать кроссдомен? если они потом захотят API сделать, да забудут про происшествие, и опять включат кросс-домен?
Total votes 1: ↑0 and ↓1 -1
и кстати, я правильно понимаю, что все LiveStreet более старших версий уязвимы?
Total votes 4: ↑1 and ↓3 -2
Хабр не на LiveStreet-е. А сам LiveStreet использует token-ы очень давно (если не с момента создания вообще).
Total votes 5: ↑5 and ↓0 +5
Дожились… Оказывается habrahabr подняли на Livestreet :)
Total votes 4: ↑4 and ↓0 +4
Ну это известное заблуждение многих хаброжителей. Вплоть до того, что в каком-то из топиков в каментах было заявление о то, что нет народ, хабра крутиться не на LiveStreet-е.
Total votes 1: ↑1 and ↓0 +1
Забавно, заготовка этой же статьи про csrf на Хабре лежит локально)
А если бы копали дальше — нашли бы кое что с SQL, там уже интереснее :) все времени докопать нет.
Total votes 7: ↑7 and ↓0 +7
UFO just landed and posted this here
Насколько я понимаю — нужно было всего-лишь послать правильный запрос? Тогда это также можно сделать модифицировав трафик с помощью HTTP дебаггера Fiddler2, или-же используя например IEWatch для ручного построения нужного запроса.
Total votes 10: ↑0 and ↓10 -10
авторизационная cookie нужна еще, чтобы проголосовать от имени человека
Total votes 4: ↑4 and ↓0 +4
Ну а при чем здесь авторизация? И в первом и во втором случае вы авторизуетесь как обычно — через броузер. Вот дальше нужно послать специальный запрос, содержащий кроме куки, еще и X-Requested-With? Я правильно понимаю?
Если правильно — то добавить этот хедер можно с помощью Fiddler2 перехватив и модифицировав трафик вашего броузера. Также этот запрос можно построить с помощью билдера запросов в броузере (если таковой имеется в броузере).
Total votes 8: ↑0 and ↓8 -8
И да и нет. Вы правильно поняли, что нужно составить правильный запрос, но не правильно поняли кто его должен послать. Посылать его должна жертва, а нашедший уязвимость. В этом и состояла вся задача, решить которую удалось с помощью Flash.
Total votes 2: ↑2 and ↓0 +2
Читайте внимательно: Уязвимость в том, что другой пользователь Хабра, открыв популярное приложение на vkontakte, автоматом проголосовал злоумышленнику в Карму…
Total votes 2: ↑2 and ↓0 +2
UFO just landed and posted this here
Я тут где-то на Хабре видел топик о кейлогере во Flash. Так что когда обратно заходить будете, он вас и поймает :-)
Уж лучше проголосовать за топик, чем дать полный доступ к аккаунту.
Total votes 1: ↑1 and ↓0 +1
… запрос нужно выполнять с браузера жертвы… (авторизованного и не голосовавшего хабраюзера) — вот что пропущено вами и всеми подобными комментаторами
Total votes 2: ↑2 and ↓0 +2
не голосовавшего хабраюзера
Это есть в топике
This comment wasn’t rated yet 0
а это ответ не Вам :) это на коммент r_ii с http-дебаггерами
This comment wasn’t rated yet 0
Все слишком сложно. Вы не пробовали консоль хрома? Прекрасно работает на любом домене
Total votes 10: ↑0 and ↓10 -10
Запрос будет только с вашими куками.
Total votes 2: ↑2 and ↓0 +2
Возможно, нетерпеливый читатель уже решил, что я нашёл элементарную, очевидную каждому дыру? Как бы ни так! Все мои попытки подделать запрос приводили к одному и тому же:

Брр, мож я чего не понял. Запрос, заголовки XML request, кроссдомены… А разве дырка не тупо в том что на серверной стороне не сверяется сессия пользователя? И никакие ид юзера передавать в скрипт не нужно, хост должен узнать пользователя и так — если тот «законопослушный» и дал верный SID.
Total votes 3: ↑0 and ↓3 -3
Проблема не в сессии, она и так проверяется.
Total votes 1: ↑1 and ↓0 +1
Не проверяется сам ли пользователь нажал на стрелочку или кто-то это сделал без его ведома.
This comment wasn’t rated yet 0
Точнее проверяется, но не точно. Я смог обойти эту защиту. Уязвимость исправили и сейчас уже так не сделать.
This comment wasn’t rated yet 0
Неплохо так автору подняли карму ))
Total votes 2: ↑2 and ↓0 +2
Она и в жизни теми же способами поднимается :)
This comment wasn’t rated yet 0
> Если у вас нет сайта, то думая договариваемся за Profit с владельцем крупного приложения ВКонтакте и заливаем код к нему. Охват 50% пользователей гарантирован.

50% пользователей этого приложения будут залогинены на хабре?
This comment wasn’t rated yet 0
Ага, 50% сидят на ферме
Total votes 1: ↑1 and ↓0 +1
Я надеюсь получить мои куки с хабра и послать их куда-то никакое флеш приложение не может?
This comment wasn’t rated yet 0
Получить — нет, послать — только на страницу в домене habrahabr.ru
This comment wasn’t rated yet 0
Sign up to leave a comment.

Articles

Unlock dark mode

Your account

Sections

Information

Services

Support
© 2006–2024, Habr