https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:00 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/829-open-redirect-i-phishing.html#c2329 https://archive.mroczna-zaloga.org/archives/829-open-redirect-i-phishing.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=829 nospam@example.com (Borys Łącki) Myślę, że "jakiś" odsetek użycia pseudo zaufanej witryny może mieć nawet ogólnie znaczenie. Ale na pewno nie będzie to jakaś drastyczna liczba. Taki open redirect może jednak przydać się także do sytuacji, w której dla mniej ważnej akcji - serwis waliduje pole Referrer. Jeśli mnie pamięc nie myli, to jakiś czas temu na wykopie można było wykorzystać CSRFa do automatycznego wykopywania właśnie dlatego, że dzięki open redirect przeglądarka wysyłała sprawdzane pole Referrer, które zgadzało się z głównym serwisem i wykorzystując inną podatność można było dzięki temu skorzystać. Bez tego drobnego Open Directa nie byłoby to wtedy możliwe :] Wracając do phishingu myślę, że jeśli taki błąd istnieje - to oczywiście warto go wykorzystać bo może to zwiększyć zakres ofiar. Pytanie jeszcze co z systemami, które przykładowo analizują treści maili i wyrzucają niezaufane linki. W takiej sytuacji open redirect znów może się przydać. Tak czy siak miliardów się dzięki temu nie nabije, co najwyżej miliony ;] Fri, 26 Mar 2010 23:25:07 +0100 https://archive.mroczna-zaloga.org/archives/829-guid.html#c2329 https://archive.mroczna-zaloga.org/archives/829-open-redirect-i-phishing.html#c2308 https://archive.mroczna-zaloga.org/archives/829-open-redirect-i-phishing.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=829 nospam@example.com (Paweł Goleń) A skąd wiesz, czy błąd nie był na liście rzeczy do poprawienia właśnie z niższym priorytetem? Może w tym czasie poprawiane były poważniejsze błędy, o których do tej pory nikt nie napisał? I to nie koniecznie związane z bezpieczeństwem. O ile mnie pamięć nie myli NK przechodziła ostatnio też jakieś większe zmiany. Powiem szczerze, że mnie ta sytuacja niespecjalnie razi/dziwi. NK nie zarabia na byciu "najbardziej bezpiecznym portalem społecznościowym". Zresztą jaki portal społecznościowy na tym zarabia? Fri, 19 Mar 2010 07:26:08 +0100 https://archive.mroczna-zaloga.org/archives/829-guid.html#c2308 https://archive.mroczna-zaloga.org/archives/829-open-redirect-i-phishing.html#c2307 https://archive.mroczna-zaloga.org/archives/829-open-redirect-i-phishing.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=829 nospam@example.com (Jurgi Wyśmiewca) Hm, ja bym potraktował to od innej strony. Skoro to taki powszechny, a zarazem kardynalny błąd, to jakie należy mieć zdanie o autorach silnika witryny? Ile jeszcze bugów tam siedzi, może poważnych, skoro robią szkolne błędy? I drugie: skoro po tylu miesiącach monitów nic z tym nie zrobili, to jacy „fachowcy” tam pracują? Domysły, że alerty nie trafiły do właściwy osób niczego nie tłumaczą, wręcz pogarszają sytuację. No bo w takim razie kto przegląda zgłoszenia błędów? Portier? Fri, 19 Mar 2010 07:18:55 +0100 https://archive.mroczna-zaloga.org/archives/829-guid.html#c2307