kouzdra (kouzdra) wrote,
kouzdra
kouzdra

Categories:

Безопастностное-5: реальная яндекс-малварь:

С реальной возможность попасть на деньги:

Яндексовская



Яндекс очень активно свой тулбар и прочий говнософт говно норовит везде без вазелина воткнуть. Ну так вот - оный тулбар по крайней мере когда появился привел в сочетании с авторизацией через хеш к прекраснейшему эффекту:

Тогда многие платежники авторизовывали с ссылкой с хэшкодом (по которой после логин-пароля надо пройти). И с появлением этого говнобара народ очень быстро обнаружил что если быстренько погуглить или по я-посерчить шаблон для этого вида форм - то таких актуальных вполне еще чужих платежных формочек находится в количестве, хотя время действия хэша - минуты две.

А просто потому что этот самый бар сразу любую открытую страницу индексировал (для повышения оперативности) - и как только тебе в браузер с баром показали страничку с этого вида структурой - у тебя любой ее может найти обычным поиском - а дальше уж вопрос криворукости авторов страницы - бывали операторы у которых номер телефона/сумма показывалась.

Щас конечно так не пишут уже - но тогда своей спайваинлй приличную дыру в безопасности пробили.
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments