?

Log in

No account? Create an account
Main

Сага об уводе денег из яндекс-кошелька

Вдруг кто не читал и не следит.

Серия статей о том, как увели деньги из яндекс-кошелька, работе милиции и самого яндекса.

Это уже часть 3
http://habrahabr.ru/blogs/yandex/74811/

где показался след :) злоумышленник предлагал работу на фриланс.ру, постановка задачи по ссылке вела на сайт, который использовал XSS уязвимость в яндекс-словарях. Таким образом сессия могла быть перехвачена.

этого не достаточно, чтобы увести деньги, — можно только зайти в личный кабинет и посмотреть остаток на счете.

продолжение наверное будет....
Tags:

Comments

спасибо за интересную ссылку
Блин, тормоз я. Два раза пришлось прочитать, чтобы понять, как именно этот XSS работает. Хотя просто, как дважды два.
PS: в смысле, что без платежного пароля деньги не украдешь.

Edited at 2009-11-10 08:00 pm (UTC)
угу, конечно. т.е. там еще что-то.
Раз смог перехватить сессию с конкретной машины, то уж кейлоггер ей подарить - это вообще как два пальца об асфальт. Самое сложное найти нужную машину.
с этого места поподробнее, пожалуйста. как перехват сессии через XSS связан с возможностью подсадить кейлоггер?
Редиректнуть на плохой сайт после перехвата сессии.

Я как-то последним Firefoxом кликнул ссылку в посте tema (не в комментарии), и почему-то в ответ на предупреждение аваста нажал "ничего не делать".

какое-то гавно подцепил, не помню точно какое, сразу кинулся чистить.
Особый привет хочется передать разработчикам вебинтерфейса, у которых 127.0.0.1 светится в качества IP адреса, с которого совершён вход; а реальный адрес при этом пользователю НЕ УЗНАТЬ.

HTTP_X_FORWARDED_FOR зафорджить настолько просто, что мне даже не верится, что они действительно тупые.
Когда мне хочется перфекционизма, я добавляю в логи и HTTP_X_FORWARDED_FOR, но только после REMOTE_ADDR, конечно.

Ну и сотрудникам яндекса следовало бы быть поуступчивей, раз им прямо на xss указали, а они клювом щёлкают.