Уразливість на linux.rambler.ru
23:38 09.05.2007У січні, 03.01.2007, я знайшов Cross-Site Scripting уразливість на http://linux.rambler.ru - проекті компанії Раблер. Про що найближчим часом сповіщу адміністрацію проекту.
Деякий час тому я вже писав про чергову XSS уразливість на Рамблері.
Детальна інформація про уразливість з’явиться пізніше.
Середа, 00:56 23.05.2007
name=set ?
Середа, 17:09 23.05.2007
Alex
Ты о чём, о linux.rambler.ru? Уязвимости там имеются (и даже не одна, а две XSS), и они не исправлены до сих пор.
Если ты спрашиваешь об уязвимом параметре, то да, одним из уязвимых параметров является set . Пока что никаких деталей в своём сообщении я не опубликовал, чтобы дать время Рамблеру на исправление.
Середа, 20:16 23.05.2007
Я и есть Рамблер
Писем мы от тебя не получали, поэтому ищем сами.
Середа, 20:34 23.05.2007
Ага, вторая с датами в форме. Спасибо, дорогой MustLive!
Четвер, 00:58 24.05.2007
Ясно . Было небольшое ощущение, что Алекс здесь не просто так.
Это нехорошо. Так как я высылал вам своё письмо 10.05.2007 0:57 с детальной информацией. Высылал на control@rambler-co.ru и на емайл Антона Горохова, которому я до этого высылал информацию об уязвимостях на www.rambler.ru (после дыр на adstat.rambler.ru), lenta.ru, horoscopes.rambler.ru в прошлом году и об уязвимостях на linux.rambler.ru в этом году.
Так что вы со своми почтовыми ящиками разберитесь, чтобы нормально получать от меня письма (письма не возращались, т.е. должны были дойти, поэтому с фильтрами разберитесь). А также чтобы не пропускать информацию о дырах на сайтах Рамблера, стоит следить за публикациями у меня на сайте (например на RSS подписаться или робота отдельного к сайту прикрепить). В любом случае я буду Рамблер уведомлять по емайлу (буду ещё и на твой ящик слать дополнительно).
Четвер, 01:11 24.05.2007
На твой RSS я подписан почти полгода как В одной папочке с Гроссманом, RSnake-ом и другими. Просто был в отпуске и долго не читал.
С почтой разберёмся. Буду очень благодарен за отдельные копии уведомлений на этот емейл. Заранее большое спасибо!
Четвер, 01:38 24.05.2007
Обязательно разберитесь.
Уведомления на твой емайл также буду высылать (вместе с вашим основным control).
За RSS следи. Чтобы ничего не пропустить. Особенно в июне - он будет жарким месяцем (для поисковиков).
Всегда пожалуйста, Alex.
Дыры в полях с датами (параметры st_date и end_date) также имеются. Но помимо них и параметра set имеется ещё одна XSS дыра (какая именно, сейчас не скажу, узнаешь в июне , да и для разработчиков найти дыры не должно составить труда, раз сделали дыры, то и найти сможете). Т.е. всего 4 XSS уязвимости на одной странице (какой именно мы двое знаем, пока что в своём сообщении я деталей не привожу). Поэтому желаю Рамблеру уделять внимание безопасности всех своих сайтов и секюрити-аудиту.
Также замечу, что спешить особо с исправлением этих дырок не нужно, т.к. я планировал их использовать (для примера уязвимостей в Рамблере) в своём проекте MOSEB. Так как вы затягивали с исправлением этих дыр. Но если исправите, то ничего, у меня есть ещё много других дырок в Рамблере для моего проекта. Так что Рамблер у меня засветится в июне.
Кстати, обращаю твоё внимание, официального представителя Рамблера, на мой проект Month of Search Engines Bugs, в котором Рамблер также будет принимать участие (по моему выбору). Где и планируется опубликовать информацию о всех дырках на linux.rambler.ru (и некоторых других поисковых функциях Рамблера). Официальное приглашение Рамблеру (и другим поисковикам участникам моего проекта) я вышлю в конце мая (потому почту подправьте). Так что следи за информацией у меня на сайте и особенно за проектом MOSEB, стартующем в июне.
Четвер, 23:59 05.03.2009
Хорошо пишете. Надеюсь, когда-нибудь увижу нечто подобное и на своем блоге…
П'ятниця, 01:45 06.03.2009
Alleliachite
Спасибо, стараюсь .
Это вы об уязвимостях? В этом случае долго вам ждать не придётся - у вас блог на WordPress и дыр в нём хватает (в том числе и в используемой вами версии). Об уязвимостях в WP я регулярно пишу у себя на сайте.
Четвер, 10:36 23.04.2009
как свами связаться? есть предложения)
Четвер, 18:11 23.04.2009
pivo
Мой емайл указан на каждой странице моего сайта - в футере в моём псевдониме.
Неділя, 19:25 10.05.2009
Блог в Опере коиво отображается)
Неділя, 21:47 10.05.2009
gajets
В Опере мой сайт нормально отображается (тестировал в Opera 9.52).
Тестировал свой сайт в Mozilla, Firefox, IE6, Opera и Chrome - во всех браузерах мой сайт нормально отображается. Лишь в IE6 столкнулся с небольшими глюками, которые давно исправил. Так что дизайн сайта корректно отображается во всех популярных браузерах.