Názory k článku Postřehy z bezpečnosti: vykutálený PayPal
-
NooN (neregistrovaný)
"...Praktická ukázka pro server BBC ukazuje, jak může útočník ovládnout nejen webovou kameru, ale celý systém...."
....
To snad nemyslia vazne. :) Ten "HACKER" je ako vystrihnuty z americkych filmov, 2-3 clicky a hacknuty a stiahnuty je cely internet. Keby sa viac snazili ohladom technickeho prevedenia ako o vizaz, mozno by to bolo ine.
Ale pre masy ludi je to pekne video, ktore prekvapi a vystrasi. A presne taketo veci treba davat do TV. -
květák (neregistrovaný)
Jenže ten útok skutečně tak jednoduchý je. Navíc pro tento typ útoku ani nepotřebuješ javu. Stačí JS a tohle http://beefproject.com/. Mě přijde škoda, že tam tolik mluví o kódu. To odradí spoustu lidí co o tom nic neví. Programátoři tohle doufám znají a není to pro ně žádná novinka.
-
NooN (neregistrovaný)
To my chces povedat, ze ak na lubovolne napr. "forum" vlozim do textboxu alebo textarey nejaky kod v HTML, tak sa mi automaticky tento kod vykona po zobrazeni?
Nemyslis si ze su potreba este urcite dalsie veci k tomu aby si vobec nieco takeho mohol vykonat?
Ze aj programator toho daneho webu musi byt troska zaostaly? -
Karel (neregistrovaný)
Je to jeden z typů útoku. A ano, v dnešní době by webový vývojář měl mít implementována protiopatření. Typu převádět znak < na něco jiného. Ani to ale neřeší problém úplně, on se občas najde i způsob, jak to u konkrétního webu obejít (propašovat to do otevřeného tagu, kupříkladu do linku http://neskodny.web.com/a.gif", onclick="a jedem!)
-
Martin ČmelíkZlatý podporovatelDiky za upozorneni, chybu jsme nepozorne zkopirovali z originalniho clanku
Nicmene o 100GB/s DoS uz jsme slysel (neoficialne) -
Jozef Makk (neregistrovaný)
Nie - nikdy nikde v historii nebol zaznamenany 100GB/s DoS
Mozno 800Gbit/s (aj 20000Gbit/s) ano - ale 100GB/s urcite nie! ;)
A nehovoriac o tom, ze to bol asi DDoS a nie DoS.Proste mravca nemeriame v km a obvod Slnka v inchoch - hoci sa to da.
Rovnako tak niekde mozno prebehol utok v 1000000000000000000000bytes/2738minut - ale preratam ho na Xbit/sec. Dakujem :) -
Martin ČmelíkZlatý podporovatel
Vim co tim myslite. Hodnotu jsem uvedl v GB/s jen proto, abych ji pripodobnil k chybe ve clanku, tj. ze 167GB/s neni nerealny utok.
-
Není nic divného na tom, že onu v celku triviální XSS zranitelnost, již někdo odhalil a nahlásil. Je třeba si uvědomit, že tyto Bug Bounty programy pro bezpečnostní odborníky jsou spíš takovou poslední pojistkou pro případ, že by profesionální týmy provádějící penetrační testy s každou změnou v aplikaci, tuto zranitelnost neodhalily. To samozřejmě nemění nic na tom, že PayPal se stejně jako nálezce zranitelnosti zachoval neprofesionálně.
-
Ale nenahlasil. Paypal je banda tem se neda verit s tema mam hodne spatny zkusenosti. Zablokuji vam ucet a nic ochota resit to je nulova.
Profesionalni security teamy jsou jen machrujou a prodavaji svy predrazeny sluzby, kolik jsme za 20 let nasli bugu buffer overflow v oraclu a db2 - asi tak 10 dohromady. Takovy zakladni veci maji mit osetrene treba Rational app scanem.
-
Nick (neregistrovaný)
Stačilo by, kdyby PayPal (a další) zveřejňovali seznam přijatých chybových hlášení v podobě hashů. Pak lze snadno prokázat, že o dané chybě už vědí a zároveň tím nedávají návod na zneužití známých (dosud neopravených) chyb. Těžby by někdo louskal hash nějakého dlouhé textu, který popisuje zranitelnost.
ČLÁNKY DO MAILU
