В сервисе Яндекс.Деньги обнаружена уязвимость

image

Теги: Яндекс, Яндекс.Деньги, уязвимость

В сервисе Яндекс.Деньги обнаружена CSRF-уязвимость, позволяющая злоумышленику с помощью специальной страницы определять логин от Яндекс-аккаунта и количество денег на Яндекс.Кошельке.

В сервисе Яндекс.Деньги обнаруженаCSRF-уязвимость, позволяющая злоумышленику с помощью специальной страницы определять логин от Яндекс-аккаунта и количество денег на Яндекс.Кошельке.

Угроза такой утечки информации заключается в том, что возможен сбор спам-базы, а также попытки взлома злоумышленниками платежного пароля на Яндекс-Директ. Как заявляет автор уязвимости Николай Ходов, что еще немало сервисов в Рунете подвержены подобного рода атакам, в их числе: ВКонтаке, Мэйл.Ру и другие. Пример:

пример уязвимости


или введите имя

CAPTCHA
1
22-09-2008 10:39:35
В чем уязвимость то? Если там тупо сделан экспорт этих данных... Ну не проверяется откуда загружен скрипт, дальше то что? А проверялся бы referrer всеравно можно было бы запросить через JS http://export.yandex.ru/counters-mail-js.xml
0 |
1
22-09-2008 10:46:00
Ну как, любой web сайт может собирать подобную статистику на своих посетителей. Тебе понравится если другие будут знать сколько у тебя денег в кошельке?
0 |
1
22-09-2008 16:29:26
я не против =) я не пользуюсь ЯД, а теперь вообще врядли буду пользоваться, ибо говнокода мало не бывает, а значит есть где-то еще... в той же системе.
0 |
22-09-2008 11:10:14
"Автор уязвимости" - этот тот, кто написал дырявый код для яндекс-денег? С воспитательной точки зрения - неплохо бы публиковать фамилию писавшего код. Хотя какой безопасности можно требовать от фирмы в которой разработчики до сих пор пишут web-приложения под винды. Как говорится в известном бородатом анекдоте, "надо не кровати переставлять, а девочек менять".
0 |
1
22-09-2008 11:16:57
"Автор уязвимости" - этот тот, кто написал дырявый код для яндекс-денег?ЯД - это вообще была сначала система учета платежей для какой-то там сети продавцов мороженного чтоли... писала ее, если не ошибаюсь, контора дельта кей. после чего эту глючную поделку ЯД поднял на уровень платежной системы. надо сказать, что за последние годы ЯД слегка изменился в лучшую сторону. но еще далек от совершенства... да...
0 |
1
22-09-2008 12:09:24
Ну просто жесть во вторую тему захожу и ты тут такой умный своей эрудицией блещешь. Сам клоун кроме говнокоментариев что написал? mysuperhomesite.html?
0 |
1
22-09-2008 11:16:20
баш отдыхает =)
0 |
1
22-09-2008 12:15:07
*ушел зарабатывать))*
0 |