Коментарі для запису: Редиректори на популярних сайтах №2 http://websecurity.com.ua/2572/ Tue, 07 Apr 2026 18:23:09 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/2572/#comment-229224 Thu, 13 Nov 2008 21:44:55 +0000 http://websecurity.com.ua/2572/#comment-229224 <blockquote>Чомусь останні дні коментарі звідси гугль вважає спамом. Раніше не було такого.</blockquote> Гугл любить займатися віпєндрьожом. Вже стикався з тим, що їх антиспам фільтри помічали мої листи з повідомленнями про уразливості як спам - ті листи, що я посилав людям на їх скриньки на гмайлі. Ось так Гугл дбає про безпеку Інтернету і про безпеку сайтів, власники який користуються його поштою :-). <blockquote>Щодо оДеску, то це така страшна махіна, що капєц.</blockquote> Про оДеск, до твого повідомлення в коментах, я не чув. Але як зайшов на сайт то подивився, що він великий і дірявий. Одразу знайшов XSS, а пізніше, як ще раз зайшов, ще чимало нових дірок. <blockquote>там у шляху файлу був логін котрий є прізвищем %))</blockquote> Це вже Information Leakage дірка - витік логіну ;-). Так що дірок в них на сайті вистачає, про що я також упевнився, як подивився їх сайт. Їм є куди покращувати безпеку свого проекту. Нещодавно я написав про <a href="/2604/" rel="nofollow">уразливості на odesk.com</a>, де згадав про XSS, та про Redirector і DoS (можеш про це в них в коментах згадати). А як ще раз зайшов на їх сайт, то знайшов 7 нових дірок. Тому над безпекою власного сайту їм треба працювати і працювати.

Чомусь останні дні коментарі звідси гугль вважає спамом. Раніше не було такого.

Гугл любить займатися віпєндрьожом. Вже стикався з тим, що їх антиспам фільтри помічали мої листи з повідомленнями про уразливості як спам - ті листи, що я посилав людям на їх скриньки на гмайлі. Ось так Гугл дбає про безпеку Інтернету і про безпеку сайтів, власники який користуються його поштою :-) .

Щодо оДеску, то це така страшна махіна, що капєц.

Про оДеск, до твого повідомлення в коментах, я не чув. Але як зайшов на сайт то подивився, що він великий і дірявий. Одразу знайшов XSS, а пізніше, як ще раз зайшов, ще чимало нових дірок.

там у шляху файлу був логін котрий є прізвищем %))

Це вже Information Leakage дірка - витік логіну ;-) . Так що дірок в них на сайті вистачає, про що я також упевнився, як подивився їх сайт. Їм є куди покращувати безпеку свого проекту.

Нещодавно я написав про уразливості на odesk.com, де згадав про XSS, та про Redirector і DoS (можеш про це в них в коментах згадати). А як ще раз зайшов на їх сайт, то знайшов 7 нових дірок. Тому над безпекою власного сайту їм треба працювати і працювати.

]]> від: trovich http://websecurity.com.ua/2572/#comment-226195 Thu, 06 Nov 2008 19:39:07 +0000 http://websecurity.com.ua/2572/#comment-226195 Чомусь останні дні коментарі звідси гугль вважає спамом. Раніше не було такого. Натиснув "Не спам", може зарадить загальній ситуації. Щодо оДеску, то це така страшна махіна, що капєц. Ми вже втомилися стібатися з кривизни, глюків та дірок їхніх. Наприклад, вони приховують прізвище розробника за умовчанням, тобто показує виду Ім'я П. (перша літера) у профілі. Але коли я спробував поглянути повний шлях до фотки розробника з профіля - там у шляху файлу був логін котрий є прізвищем %)) Це все при тому, що вони регулярно рапортують про чергові мільони, отримані від інвесторів. Чомусь останні дні коментарі звідси гугль вважає спамом. Раніше не було такого. Натиснув “Не спам”, може зарадить загальній ситуації.

Щодо оДеску, то це така страшна махіна, що капєц. Ми вже втомилися стібатися з кривизни, глюків та дірок їхніх. Наприклад, вони приховують прізвище розробника за умовчанням, тобто показує виду Ім’я П. (перша літера) у профілі. Але коли я спробував поглянути повний шлях до фотки розробника з профіля - там у шляху файлу був логін котрий є прізвищем %))
Це все при тому, що вони регулярно рапортують про чергові мільони, отримані від інвесторів.

]]> від: MustLive http://websecurity.com.ua/2572/#comment-225335 Tue, 04 Nov 2008 19:16:24 +0000 http://websecurity.com.ua/2572/#comment-225335 Молодець, Сергій. І редиректора знайшов, і DoS також (через редиректор). Дані уразливості я називаю зацикленими редиректами (Loop Redirect), коли відбувається DoS через редиректор. В оДеску є 2 сек. затримка перед редирекцією, тому ефект від атаки зменшується, але тим не менш, є навантаження на сайт. Подібні дірки я неодноразово знаходив, зокрема в <a href="http://websecurity.com.ua/2178/" rel="nofollow">Power Phlogger</a>. Зазначу, що в цьому редиректорі в оДеску я щойно виявив XSS дірку. Про що я згодом напишу. Так що він дуже дірявий. І хоча редиректор має захист від автоматичного використання, за рахунок XSS можна поставити кукіс і обійшовши захист, зробити автоматичний редиректор. Що робить можливим проведення Redirector і DoS атак. Молодець, Сергій. І редиректора знайшов, і DoS також (через редиректор).

Дані уразливості я називаю зацикленими редиректами (Loop Redirect), коли відбувається DoS через редиректор. В оДеску є 2 сек. затримка перед редирекцією, тому ефект від атаки зменшується, але тим не менш, є навантаження на сайт. Подібні дірки я неодноразово знаходив, зокрема в Power Phlogger.

Зазначу, що в цьому редиректорі в оДеску я щойно виявив XSS дірку. Про що я згодом напишу. Так що він дуже дірявий. І хоча редиректор має захист від автоматичного використання, за рахунок XSS можна поставити кукіс і обійшовши захист, зробити автоматичний редиректор. Що робить можливим проведення Redirector і DoS атак.

]]> від: trovich http://websecurity.com.ua/2572/#comment-224101 Fri, 31 Oct 2008 18:35:51 +0000 http://websecurity.com.ua/2572/#comment-224101 Ось подібну штуку знайшов на оДеску. Ще й постібався в каментах. <a href="http://www.odesk.com/community/node/5257#comment-15289" rel="nofollow">stupid redirector</a> Ось подібну штуку знайшов на оДеску. Ще й постібався в каментах.
stupid redirector

]]>