Mail.Ru начнет платить за найденные уязвимости?

Уважаемый Мэйл.ру, ты пропиарился насчёт безопасности: habrahabr.ru/company/mailru/blog/169801/

Безопасность говорите? Да ну!

…(удалено, мы не публикуем уязвимости, но передали информацию в Mail.Ru — Roem.ru)…

Комментирует Денис Аникин, технический директор Почты Mail.Ru:

Спасибо автору за потраченное на исследование время! Мы все проверили, некоторые из упомянутых проблем действительно имеют место и мы обещаем пофиксить их в ближайшие сроки. Кроме того, пользуясь случаем, хочу анонсировать, что мы планируем запустить конкурс по поиску уязвимостей в ближайшее время. А пока, если у вас будут предложения по усилению безопасности нашего сервиса в целом, пишите на security@corp.mail.ru или лично мне на anikin@corp.mail.ru

Добавить 3 комментария

  • Ответить
    Альтер Эго

    А почему не выложить — всё равно на Хабре опубликовано? http://habrahabr.ru/company/mailru/blog/169801/#comment_5959103 0) Прямо на главной странице почты (да ни на главное странице тоже) у вас раскрытие исходного кода с внутренним комментом: ~~~ Редактировать только руками ~~~ - (Думать только головой) — Итак, подумаем головой: 1) А поставим ка мы всем посещающим эту страницу людям, кофейную тему в их почте, при помощи CSRF коих у вас мильон. Ну например с помощью этой картинки: 2) А потырим ка мы чужие авторизационные cookie: https://e.mail.ru/cgi-bin/sentmsg? &nbs p; form_sign=% 74&form_token=1&HTMLMessage=1&To=dfsf@ru.ru&Subject=sdfsdf&Body=1&&send=1 Да, XSS, и да В GET параметрах предназначеных для (SIC!) защиты от CSRF. 3) И наверное по причине большой безопасности в Flash cross-domain policy файлике (http://rs.mail.ru/crossdomain.xml) вы разрешаете красть чужую почту с любых сайтов. 4) Или позволяете проводить http response splitting атаки например на af[1−9+].mail.ru/cgi-bin/readmsg через GET параметр «ct». Чужие куки тоже крадутся, да. 5) Почта у вас за https, это круто. Но рекомендую почитать про secure флаг cookies. Достаточно средиректить пользователя на http://anything.mail.ru и мы получаем нужную нам cookie. Я мог бы наверное продолжать бесконечно, но выделенные на вас полчаса к сожалению закончились :(

  • Ответить
    Альтер Эго

    Хочу, пользуясь случаем, принести публичное покаяние в давнишнем грешке… Помнится, мне однажды очень захотелось заглянуть в почту любовницы на мейл.ру. Предполагая, что пароль скорее всего не сложный, написал программку, которая в десятке потоков брутфорсила страницу мейла на предмет подходящего пароля. Перебор шел весьма быстро, т.к. никакой задежки между попытками не происходило. Программа работала примерно день, после чего я ее выключил, т.к. боялся что меня спалят на работе за этим делом (а дома быстрого инета не было). Увы, в ящик я так и не попал. Хотя если бы прога поработала недельку, то скорее всего, думаю, пароль я бы заполучил. Вот такая уязвимость :). Надеюсь, за мое сообщение положена награда.