Persistent XSS na stronie głównej wykop.pl

25 sierpnia 2015, 10:20 | Aktualności | komentarzy 5
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Zaczęło się od problemu z reklamą „Programisty” – wczoraj przed 9:00 Michał Bentkowski podesłał mi info tym, że chyba coś nie tak jest z ich reklamą i mamy chyba podatność XSS na stronie głównej wykopu:

wykop0

Reklama Programisty

Persistent XSS byłby tu o tyle groźny, że z wykorzystaniem niego można spróbować np. podmienić stronę główną, zrobić automatyczne przekierowanie na inną stronę, itp. (oczywiście nie zalecamy tego typu działań…).  Zresztą i na samych forach wykopu chwilę później pojawiło się info o XSS w tym miejscu.

Na początek myśleliśmy o przetestowaniu tego XSSa i przy okazji zareklamowaniu na wykopie naszego szkolenia – bezpieczeństwo aplikacji www – idealny kontekst. Ale w końcu stanęło na mini reklamie sekuraka, która miała być PoC-em XSSa:

Akceptacja

Akceptacja

Dzisiaj po północy reklama się pojawiła:

Reklama sekuraka

Reklama sekuraka

XSS wykop

XSS wykop

Problem został zgłoszony do administracji wykopu i szybko załatany. Na koniec dostaliśmy do serwisu wykop mały upominek: 2 pakiety reklamowe za złotówkę.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Cześć, zauważyłam też i Wasz błąd, i od razu napisałam do admina Wykopu, bo byłam z nimi w kontakcie po naszym błędzie w reklamie. Nie wiedziałam, że to Wasza reklama, ale czułam w kościach, że ktoś z branży kogo znamy, więc się zatroszczyłam ;-) Nam Wykop nie dał upominku :(, a to już druga ich wpadka w stosunku do reklamy „Programisty”. Miesiąc temu zamówiłam reklamę w wykop market, ustawiłam datę emisji na nadchodzący dzień, a reklama pojawiła się dopiero za 2 dni. Zmartwiło mnie to, no bo jak wiadomo reklamę się planuje z jakimś planem, celem i data emisji ma znaczenie. Wykop się tłumaczył, że zamówienie było złożone zbyt późno (o godzinie 16:49) i kampania przeszła na kolejny dzień. Jakoś to przełknęliśmy, chociaż wcześniej zamawiałam reklamy nawet po 21:00 i taka sytuacja nie miała miejsca. Rozumiem, że różne sytuacje mają miejsce i zdarzają się wpadki, ale też powinniśmy dostać jakąś rekompensatę. Adminem reklam na wykopie jest agencja zajmują się profesjonalnie planowaniem mediów/reklamami od wielu lat (Goldbach Audience). Kto jak to, ale oni powinni wiedzieć, że data emisji, a także wygląd kreacji to istotne rzeczy. A propos wyglądu, to zmienili nam w obecnej reklamie strzałkę „->” na myślnik „-„…

    Odpowiedz
    • Bartek

      Pisze to jako zwykły czytelnik sekuraka ale myśle że wielu się ze mną zgodzi.

      Czemu miałby niby służyć ten post? Nie zawiera kompletnie (prócz notki na samym końcu o myślniku) ŻADNEJ treści związanej z bezpieczeństwem komputerowym (no chyba ze przestroga dla chcących atakować iż wykop nie dba o godziny „ataku” ). Powyższe wynurzenia są smutne itd. jednak powinniście je kierować do działu reklamy lub reklamacji wykopu a nie „reklamować” się pod postami na cudzym portalu. Albo chociaż jak już, to pisać o tym w PW do redakcji.

      Odpowiedz
      • chyba chodziło o to, że „zdarza się” najlepszym i że taki duży serwis jak wykop, który wydaje się być obłożony masą specjalistów musi dbać bardziej o bezpieczeństwo, po prostu. podobne bugi wychwytuje niebiezpiecznik.

        Odpowiedz
    • Ktos

      Nie martw sie, my i tak nie widzimy reklam na wykop, wiec data emisji jest tu bez znaczenia.

      Odpowiedz
  2. Dostaliśmy „rekompensatę”. Lubimy wykop! ;-)

    Odpowiedz

Odpowiedz