Яндекс не спешит закрывать критические уязвимости

Дык не напоминает никто, взломами, вот и забывают.

Почему не стоит пользоватеся сервисами Yanxed?

При анализе безопасности системы авторизации Yanxed я выяснил очень неприятный момент:

Cookie Session_id передаётся в открытом виде и позволяет залогиниться в любой аккаунт Yanxed.

Решил проинформировать об этом службу безопасности Yanxed ну и скромный гонорар получить (весьма скромный, по сравнению с гонораром mail.ru).

В службу безопасности я передал шаги по воспроизведению проблемы и рекомендации по их устранению.

Через непродолжительное время мне ответели, что это невозможно, и мне всё показалось. Дальнейший диалог со службой безопасности проходил в режиме "головой о стену".

Т.е. то, что вы видете ниже - это не ошибка в безопасности!

Ок, проверим показалось ли мне это или нет.

1) С помощью tcpdump (можно на шлюзе, можно на своём рабочем компьютере) перехватываем Session_id:

tcpdump -i any -A -l port 80 | grep -A 2 --color Session_id

2) Для верности эксперимента на совершенно другом компьютере (можно даже с другого IP - Yanxed это позволяет) открываем браузер, набираем www.yanxed.ru, с помощью редактора Cookie очищаем все Cookie (еще раз для верности) и добавляем одну единств

енную Cookie Session_id на домен .yanxed.ru, которую мы получили с помощью tcpdump.

3) Обновляем страницу и видим, что мы оказались залогинены под аккаунтом пользователя, и нам проставилиcь все недостающие Cookie.

4) Всё. Мы имеем доступ во все сервисы Yanxed, и в почту, и в деньги, и куда угодно.

5) А всё почему? Потому что Session_id является основной Cookie, с помощью которой Yanxed авторизует пользователя на всех сервисах.

Но это не ошибка в безопасности! Это всего лишь плод моего воображения.

Chei8si5, а на этом форуме по другому? :)

И чью вы сессию хотите перехватить кроме своей?

Chei8si5, ну заходите в чужие акки и ставьте ссылки в их социальной сети =)

---------- Добавлено 28.04.2014 в 18:22 ----------

А этот протокол не решает проблемы с перехватом чужих сессий?

Я от контакта имею доступ к чужим логинам через ARP... (простите за запретные темы)

:)

Архитектуру сети надо смотреть (небось, домашний LAN?).

Это по башке нужно провайдера.

У нас тоже есть такие. Все сеткой одной соединены и под NAT сидят в инете, 5-ть IP на ВСЮ страну.

Шастай по чужим компам, чего уж там про какие-то ARP

Вы, наверное, открыли древний-предревний мануал по "хакингу"?

Это работает для любого сайта не использующего SSL.

Кстати, money.yandex.ru использует SSL и там вы ничего не сделаете.

Печаль. Кроме внешнего VPNа Вас ничего не спасёт.

а вы сами то пробовали использовать сворованные куки?

они же не должны из другого браузера и/или с другого IP работать

emariaru, я не на таком уровне программер, но, а если подменить жертве ip? =) это реально... создать аналог VPN для жертвы... Ну если ARP заюзали...

А еще в SSL нашли уязвимость, разве не так? И читал, что там тоже реально расшифровать, но это без фактов...

Это выдумки, что есть привязка к IP. Проверить это просто, с одного компа выходим с разных мест. Все работает!