Comments 27
Твоих мыслей ход понятен, автор, но суров очень стиль твой (с) Йода
+47
Обожаю наблюдать, как неуловимый™ Хомяков находит довольно серьёзные дыры, его никто не хочет всерьёз воспринимать в Баунти, он сливает эксплойты в паблик и у всего white-hat сообщества натуральный бугурт. Цикличная ситуация, очередной цикл дождались :)
+16
У меня заработало, только если пользователь изначально не залоинен на фейсбуке.
Если же он залогинен под своим аккаунтом, то при попытке скрытого перелогина запрос блокируется:
Если же он залогинен под своим аккаунтом, то при попытке скрытого перелогина запрос блокируется:
Refused to display 'https://www.facebook.com/common/invalid_request.php' in a frame because it set 'X-Frame-Options' to 'DENY'
+1
>У меня заработало, только если пользователь изначально не залоинен на фейсбуке.
Да, но разлогинеть не сложно. Достаточно знать токен (любой) этой жертвы (можно слить с других сайтов) и загрузить logout.php?access_token=123
Ошибка, что вы написали, не имеет никакого значения. Это отказ браузера показывать страницу с результатом, на работу CSRF никак не влияет.
Да, но разлогинеть не сложно. Достаточно знать токен (любой) этой жертвы (можно слить с других сайтов) и загрузить logout.php?access_token=123
Ошибка, что вы написали, не имеет никакого значения. Это отказ браузера показывать страницу с результатом, на работу CSRF никак не влияет.
+3
А как можно защититься простым пользователям? Через полное отключение всех социальных плагинов (скажем, в AdBlock)?
0
Очень сложно и практически невозможно понять если не знаешь каких-то терминов.
«фиксируем сессию на фейсбуке» — что это значит вообще?
«signed_request. СР это подписанный запрос с помощью client_secret и создан он… непонятно зачем.» — так что такое «CP»? Почему именно СР? Использование аббревиатуры без расшифровки очень печалит. Попробуйте представить что вы не значете что такое СР и попытайтесь понять абзац. У меня не получилось.
«фиксируем сессию на фейсбуке» — что это значит вообще?
«signed_request. СР это подписанный запрос с помощью client_secret и создан он… непонятно зачем.» — так что такое «CP»? Почему именно СР? Использование аббревиатуры без расшифровки очень печалит. Попробуйте представить что вы не значете что такое СР и попытайтесь понять абзац. У меня не получилось.
+11
фиксируем сессию на фейсбуке
Авторизируемся на фб через iframe, приведенный в начале?
так что такое «CP»?
signed_request == SR (en) == СР (ru)
И правда действительно слишком сложным языком описаны на самом деле простые вещи.
+1
Помоему когда пишут сокращение без объяснение то по дефолту имеется слова чуть раньше (Signed Request).
Фиксируем сессию — понятно любому знакомому с атакой, фиксации сессии. Ну и звучит же очевидно.
Термины объяснены в первой статье, типа.
Фиксируем сессию — понятно любому знакомому с атакой, фиксации сессии. Ну и звучит же очевидно.
Термины объяснены в первой статье, типа.
-1
Обычно сокращения имеют прямую связь с тем, что они собственно сокращают. В вашем случае связь весьма неочевидная. Можно было ещё сократить ЫК, тоже подобный подход.
«Фиксируем сессию — это фиксируем сессию». Это очевидно, но ни капельки не понятно.
Первая статья закрыта, типа.
Фиксируем сессию — понятно любому знакомому с атакой, фиксации сессии. Ну и звучит же очевидно.
«Фиксируем сессию — это фиксируем сессию». Это очевидно, но ни капельки не понятно.
Термины объяснены в первой статье, типа.
Первая статья закрыта, типа.
+4
В яндекс баунти отвечают минимум через месяц. Я посылал баги в декабре, а мне только в конце января ответили. (И присудили награду в 10к руб.)
+1
Ага или пишут идиотские отписки про «неиспользуемый браузер» на репорты XSSок, видимо штрафуют за уязвимости, обедов лишают… Причем какие-то еще и фиксят после репортов (не все перепроверял).
(как быстро коммент уйдет в минус?)
(как быстро коммент уйдет в минус?)
+2
Ну и заодно там где загружен родные sdk можно скриптом вытянуть acces_token
и тихо слить все данные
и тихо слить все данные
0
Да, это тоже. signed_request + access_token = доступ вообще ко всему
0
А для получения токена пользователь должен разрешить доступ для какого-то фб приложения или нет?
0
Протестировать бы…
0
OAuth — кровавое месиво из подтверждения identity (это ад) и расшаривания прав (тут всё более-менее, хотя под контроль пользователя из провайдеров более-менее отдаёт на ручной контроль прав доступа только Facebook). Увы, ничего более-менее стандартного и готового нет. OA2 только добавляет новых workflow, при этом не предоставляя ни нормальной документации, ни унифицируя ничего.
А пока там все соберутся и будут использовать oz (или ещё что) ещё не один год пройдёт.
Пока гром не грянет (как тот коммит в rails), мужики даже креститься не станут.
А пока там все соберутся и будут использовать oz (или ещё что) ещё не один год пройдёт.
Пока гром не грянет (как тот коммит в rails), мужики даже креститься не станут.
+1
Sign up to leave a comment.
Articles
Change theme settings
Безопасность OAuth2 и Facebook Connect уязвимости