_1313: про прикладную секурностьмежду прочим, п

Тринадцатый наивный идеал (

_1313) wrote,
@ 2008-05-04 14:44:00

Current music:	Perfume - Secret Message
Entry tags:	links, lj, lol, web

про прикладную секурность

между прочим, последний пост у Тёмы — наглядный пример классической CSRF-атаки. берётся скрипт, который производит некое действие с юзером (в данном случае — выдаёт какой-то там закэшированный юзерпик) без лишней проверки (в данном случае — аутентифицирует юзера всего лишь по куке) и высовывается в публичный доступ в виде <img src="уязвимый.скрипт">, что заставляет браузеры пользователей посылать запрос к этому скрипту без ведома самих пользователей. а если бы этот горе-скриптец не опирался на одни куки, а принимал бы (и проверял) ещё и uid юзера через гет, то дыра была бы надёжно закрыта

так что Тёма у нас теперь кулхаксор. интересно, не нарушил ли он этим постом ТоС? =)

(Post a new comment)

	sonozaki_mion 2008-05-04 10:58 am UTC (link)
	Ну вообще по сути, даже если и нарушает ТоС, то АТ бы этот пост проигнорировала, т.к. скрипт-то жжшный. Если, конечно, у них не паранойя. (Reply to this) (Thread)

	reanstrain 2008-05-04 11:05 am UTC (link)
	ещё ни одного такого шутника не забанили (баян же ж), так что всё ок. (Reply to this) (Parent)(Thread)

	sonozaki_mion 2008-05-04 11:05 am UTC (link)
	Даже я это постил, причем дважды. (Reply to this) (Parent)(Thread)

	_1313 2008-05-04 11:06 am UTC (link)
	Тёма, ты? (Reply to this) (Parent)(Thread)

	reanstrain 2008-05-04 11:07 am UTC (link)
	Тринадцатый, ты? XD (Reply to this) (Parent)

	reanstrain 2008-05-04 11:07 am UTC (link)
	а у меня в браузере не показывается всё равно, только "красный крест". и явно не потому что дефолтного юзерпика нет (в файрфоксе работает). (Reply to this) (Parent)(Thread)

	sonozaki_mion 2008-05-04 11:08 am UTC (link)
	А всё потому что ты ни разу не пользовался Userpic Factory, когда просто грузишь полноразмерный жипег и обрезаешь его средствами жж. :) (Reply to this) (Parent)(Thread)

	reanstrain 2008-05-04 11:10 am UTC (link)
	до чего техника дошла, а пацаны-то и не знают. я, конечно, все эти виджеты, гаджеты и прочее барахло, обожаю-уважаю, но не подозревал, что фотошоп — это уже не модно, извините. =) (Reply to this) (Parent)

	kona 2008-05-04 01:03 pm UTC (link)
	я тоже не пользовалась, но картинка почему-то показывается причем картинка очень старая ) (Reply to this) (Parent)(Thread)

	sonozaki_mion 2008-05-04 01:07 pm UTC (link)
	загружала каритнки на pics.livejournal.com, десу? (Reply to this) (Parent)(Thread)

	kona 2008-05-04 01:13 pm UTC (link)
	да, но никак не юзерпик ) (Reply to this) (Parent)(Thread)

	_1313 2008-05-04 01:18 pm UTC (link)
	ну вот у меня там просвечивает картинка для юзерпика для сообщества, которое я мейнтейню (Reply to this) (Parent)(Thread)

	kona 2008-05-04 01:27 pm UTC (link)
	у меня там анимированная возмущенная Харухи =) (Reply to this) (Parent)

_1313
2008-05-04 11:05 am UTC (link)

CSRF-атаки как раз и направлены на атаку сайта, на котором размещён уязвимый скрипт. если бы дыра была, например, в скрипте разлогинивания, и всех, кто читает Тёму, разлогинивало — это что, не заинтересовало бы АТ?

(Reply to this) (Parent)(Thread)

	sonozaki_mion 2008-05-04 11:06 am UTC (link)
	Ммм, ну сделай скрипт, чтобы меня разлогинило. (Reply to this) (Parent)(Thread)

	_1313 2008-05-04 11:14 am UTC (link)
	если бы дыра была, например десу? (Reply to this) (Parent)(Thread)

	sonozaki_mion 2008-05-04 11:20 am UTC (link)
	Ну поскольку то тут никакая опасная дыра не используется — то разумеется, вообще пофиг. :) (Reply to this) (Parent)(Thread)

_1313
2008-05-04 11:24 am UTC (link)

это, в общем, от каждого конкретного админа зависит — позволяет ли он юзерам играться с даже безвредными дырочками у него на сайте или нет. просто следующий шаг после игры с безвредной дырочкой — поиск вредных дырочек =)

(Reply to this) (Parent)(Thread)

	sonozaki_mion 2008-05-04 11:32 am UTC (link)
	Короче, пошел я искать вредную дырочку. :) (Reply to this) (Parent)(Thread)

	_1313 2008-05-04 11:35 am UTC (link)
	любое действие, которое не спрашивает явно юзернейм или юзерид, можно подделать (Reply to this) (Parent)

	darth_blade 2008-05-04 01:02 pm UTC (link)
	А чо случилось-то? О_О Ну, кроме очередного розыгрыша со скриптом и юзерпиком. (Reply to this) (Thread)

	_1313 2008-05-04 01:07 pm UTC (link)
	лулз случился, ты комменты там почитай. а про секурити я просто так выпендрился (Reply to this) (Parent)(Thread)

	sonozaki_mion 2008-05-04 01:14 pm UTC (link)
	Я, кстати, там всего четыре коммента оставил, и тут же на дваче меня в двачеры записали. D: (Reply to this) (Parent)(Thread)

	_1313 2008-05-04 01:17 pm UTC (link)
	ну по твоим юзерпикам, интересам и словесам ты как минимум битард. а уж двачер или нет — это детали ) (Reply to this) (Parent)

	queen_artesia 2008-05-04 01:54 pm UTC (link)
	Вот NoScript и окупился, лол. У меня вообще ничего не кажет. (Reply to this) (Thread)

	_1313 2008-05-04 01:55 pm UTC (link)
	вот и не окупился, лол. носкрипт тут совсем не при чём, он же яваскрипт жрёт. не кажет у тебя ничего потому, что ты никогда не пользовалась юзерпик-фактори жжшной :) (Reply to this) (Parent)(Thread)

	Re: Reply to your comment... queen_artesia 2008-05-04 05:35 pm UTC (link)
	Что, правда? Гы. Ну значит окупился XnView. =) (Reply to this) (Parent)

	zelga 2008-05-04 06:30 pm UTC (link)
	да собсно боян юки уже два раза ~~нае~~ разыгрывала (Reply to this)

Username:		Create an Account Forgot your login or password? Login w/ OpenID
Password:
	Remember Me
	English • Español • Deutsch • Русский…

About

Help

Get Involved

Legal

Store

LJ Labs