Information Security
Comments 41
+21
за сообщение о такой ошибке MailRu Group выплатили бы щедрое баунти

А сами багоси пишут, что не платили в течение целого года, именно поэтому и запустили сабж

+49
причем за сообщение о такой ошибке MailRu Group выплатили бы щедрое баунти

Как человек, который сообщал в Баг Баунти о возможности доступа к многомиллионному количеству аккаунтов в ВК, а через месяц получивший крайне щедрое «мы знаем об этом из внутренних источников» я больше не хочу сообщать туда что-то серьёзное. Сейчас думаю о том, что делать с другими интересными багами.
-12
Уже изменил последний абзац, но как багхантера понимаю Вас. Не применимо к ББ ВК, а в целом, примеры приводить не буду, по чатикам и так все о них знают.
+14
что делать с другими интересными багами

Примерно то же, что произошло с одним из багов сегодня

UFO landed and left these words here
+5

А, ясно, зря я надеялся на рассмотрение моего medium-репорта за обозримый срок (на данный момент больше месяца уже), раз critical никто не смотрит...

+1
У меня пару вопросов от нуба
1)В вк в сообщениях можно посылать сырые html теги? в данном случае iframe с любыми параметрами
2)Как вк(любой сайт) должен защищаться от такого, когда в его теле загружается iframe с левого домена.
+1

1) Нет, это следствие некорректной обработки ссылки
2) В данной уязвимости не было iframe с левым доменом

0
А что было то? Есть техническое описание, как это было? А то получается, вы всё знаете, но капитаните и молчите. Добавьте еще:
3) Вам стоит выйти из vk и зайти снова.
0
)Как вк(любой сайт) должен защищаться от такого, когда в его теле загружается iframe с левого домена.

CSP: frame-src
0
В ВК подразумевается легитимная возможность отображения роликов с ютуба во фрейме. Но в данном случае загвоздка же не в iframe-src была.
0
подразумевается, и?)
бтв — это ответ на вопрос про ифреймы, а не конкретно эту ситуацию все же
0
Вопрос был в том числе про ВК. CSP в данном случае спасло бы, но только script-src.
0
Он как-то несколько странно всё описал. Во-первых, про Вики-страницы совершенно ничего не понятно — наверное имелось в виду, что править разметку HTML можно только при редактировании вики-страницы, но никак не при отправке обычного сообщения в ЛС — хотя механизм вставки видеоролика и там и там должен быть примерно одинаковым по идее. И дальше про iframe немного намудрил: вк получает результат парсинга страницы с видеозаписью через локальный скрипт-«гейт», расположенный на домене vk.com, и делается это через обычный XHR скорее всего (в ЛС точно именно так всё происходит). Таким образом, вредоносный скрипт подключается прямо в head текущей страницы.

А вот что именно он делает — автор толком не рассказал, а ведь это как раз достаточно интересно.
0
Я бы не сказал. Слог у автора довольно корявый (я надеюсь, он меня простит, если это читает).
0
Что делает? Перебирает группы пользователя в цикле и размещает пост там, где это можно. Это же логично. А если нет — можно самому открыть скрипт (там есть скрин, где ссылка на скрипт на гитхабе есть. Достаточно вбить этот url в адресную строку и увидите, как оно работает). Но такой скрипт написать — как раз плюнуть. Гораздо сложнее найти xss-уязвимость и внедрить его. А как это было сделано — об этом как раз автор и рассказывает.
+1
Да я-то знаю, что он делает. Но не все же тут JS кодеры, кто читает эту новость (возможно). На самом деле, тут есть три интересных момента:

1) То, что мы внедрили вредоносный скрипт прямо в документ, дало нам возможность читать через XHR ответы от share.php
2) share.php выдаёт список групп и hash, причём последний — не является одноразовым, поэтому и возможна рассылка в цикле подряд без его обновления
3) Капчи при этом действительно нет
-15
Так всегда бывает, когда фронтендом занимаются бэкендеры.
-18

Как всегда беспощаден в своих комментариях:) Впрочем, а чего сюсюкать. Правильный фронтенд как по мне на порядок сложнее бэкенда.

-5
Не в этом суть. Отсутствие санитайзинга пользовательского контента по белому списку — это детский сад. Что понятно любому, кто знаком со всем многообразием тегов, аттрибутов и, внезапно, css-свойств.
+1
А что можно через CSS-свойства сделать плохого? Кроме раздражающей анимации
0
Вытащить часть пароля/текста, используя шрифты
Круто! А как это пофиксили в итоге?
0

Самые эпичные — это -moz-binding в мозилле и expression в ишаке. Но эти лавочки уже прикрыли.

0
Помню такие же развлечения на заре развития, во времена ласипаН -а, когда стена еще была, GET-запросы ты в разных местах создавали записи на стене.
+2
Извечные проблемы России — дураки, дороги, а теперь еще и социальные сети.
Only those users with full accounts are able to leave comments. , please.