Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Persistent XSS na stronie głównej wykop.pl
Zaczęło się od problemu z reklamą „Programisty” – wczoraj przed 9:00 Michał Bentkowski podesłał mi info tym, że chyba coś nie tak jest z ich reklamą i mamy chyba podatność XSS na stronie głównej wykopu:
Reklama Programisty
Persistent XSS byłby tu o tyle groźny, że z wykorzystaniem niego można spróbować np. podmienić stronę główną, zrobić automatyczne przekierowanie na inną stronę, itp. (oczywiście nie zalecamy tego typu działań…). Zresztą i na samych forach wykopu chwilę później pojawiło się info o XSS w tym miejscu.
Na początek myśleliśmy o przetestowaniu tego XSSa i przy okazji zareklamowaniu na wykopie naszego szkolenia – bezpieczeństwo aplikacji www – idealny kontekst. Ale w końcu stanęło na mini reklamie sekuraka, która miała być PoC-em XSSa:
Akceptacja
Dzisiaj po północy reklama się pojawiła:
Reklama sekuraka
XSS wykop
Problem został zgłoszony do administracji wykopu i szybko załatany. Na koniec dostaliśmy do serwisu wykop mały upominek: 2 pakiety reklamowe za złotówkę.
–ms
Cześć, zauważyłam też i Wasz błąd, i od razu napisałam do admina Wykopu, bo byłam z nimi w kontakcie po naszym błędzie w reklamie. Nie wiedziałam, że to Wasza reklama, ale czułam w kościach, że ktoś z branży kogo znamy, więc się zatroszczyłam ;-) Nam Wykop nie dał upominku :(, a to już druga ich wpadka w stosunku do reklamy „Programisty”. Miesiąc temu zamówiłam reklamę w wykop market, ustawiłam datę emisji na nadchodzący dzień, a reklama pojawiła się dopiero za 2 dni. Zmartwiło mnie to, no bo jak wiadomo reklamę się planuje z jakimś planem, celem i data emisji ma znaczenie. Wykop się tłumaczył, że zamówienie było złożone zbyt późno (o godzinie 16:49) i kampania przeszła na kolejny dzień. Jakoś to przełknęliśmy, chociaż wcześniej zamawiałam reklamy nawet po 21:00 i taka sytuacja nie miała miejsca. Rozumiem, że różne sytuacje mają miejsce i zdarzają się wpadki, ale też powinniśmy dostać jakąś rekompensatę. Adminem reklam na wykopie jest agencja zajmują się profesjonalnie planowaniem mediów/reklamami od wielu lat (Goldbach Audience). Kto jak to, ale oni powinni wiedzieć, że data emisji, a także wygląd kreacji to istotne rzeczy. A propos wyglądu, to zmienili nam w obecnej reklamie strzałkę „->” na myślnik „-„…
Pisze to jako zwykły czytelnik sekuraka ale myśle że wielu się ze mną zgodzi.
Czemu miałby niby służyć ten post? Nie zawiera kompletnie (prócz notki na samym końcu o myślniku) ŻADNEJ treści związanej z bezpieczeństwem komputerowym (no chyba ze przestroga dla chcących atakować iż wykop nie dba o godziny „ataku” ). Powyższe wynurzenia są smutne itd. jednak powinniście je kierować do działu reklamy lub reklamacji wykopu a nie „reklamować” się pod postami na cudzym portalu. Albo chociaż jak już, to pisać o tym w PW do redakcji.
chyba chodziło o to, że „zdarza się” najlepszym i że taki duży serwis jak wykop, który wydaje się być obłożony masą specjalistów musi dbać bardziej o bezpieczeństwo, po prostu. podobne bugi wychwytuje niebiezpiecznik.
Nie martw sie, my i tak nie widzimy reklam na wykop, wiec data emisji jest tu bez znaczenia.
Dostaliśmy „rekompensatę”. Lubimy wykop! ;-)