• 69196
  • 1363
  • 83
Нравится блог?
Подписывайтесь!

День Цветов на Yvision - как это было

Вчера ближе к полуночи мы попытались украсить платформу цветами. В результате было создано 139 записей с заголовоком "День Цветов на Yvision!" текстом "Когда вы последний раз дарили или получали в подарок цветы?" и красивыми фотографиями цветов. Примерно 400-450 пользователям были разосланы сообщения с таким же текстом.

В результате, на главной страние можно было видеть 10 записей с красивыми цветами. Было красиво!

Как вы уже наверное догадались, сами пользователи эти записи не создавали и не голосовали за них. Они были созданы в результате одной из уязвимостей на платформе.

К моему глубочайшему сожалению, администрация удалила все эти записи с цветами, хотя пользователи, при желании, могли сделать это сами. Интересно также, что удалены были ни только эти записи но и все записи с обсуждениями, как кто то назвал, "цветочного бунта"!

Очень жаль!

Поэтому сейчас на платформе трудно заметить какие либо следы. Единственное что осталось это скачки в рейтинге некоторых пользователей:

Учитывая, что администрация уже в курсе использованых механизмов, в этом и следующем посте я решил поделиться с вами деталями.

Как и прежде были использованы следующие инструменты:

  • Flash/Flex - для инъекции JavaScript кода
  • JavaScript - собственно код создающий записи, рассылающий сообщения и голосующий за созданные записи
  • Python + Twisted - код на сервере, координирующий действия скриптов
  • MongoDB - база данных с пользователями yvision и текущей информацией

Вначале было достаточно создать только одну "инфицированную" запись. Если зарегистрированный пользователь открывал такую страницу, от его имени создавалась новая инфицированная запись, рассылалось сообщение 5ти другим пользователям, и добавлялся плюс другим 5ти инфицированным записям. Далее оригинальная запись была удалена, так как записи распространялись сами по себе и постепенно выползли на главную страницу. То есть, было создано что то вроде Worm/Virus.

Весь фокус в том, что у Flash есть возможность вызывать JavaScript на странице где расположен сам Flash. Есть опция выключающая такую возможность, которую и забыли выключить. Речь идёт о "allowScriptAccess" аттрибуте в теге "embed".

В следующем посте я выложу сам код с пояснениями (если это кому то интересно?)

Vitaliy Tsvayer tsvayer
20 сентября 2010, 11:46
2411

Загрузка...

Комментарии

"...и красивыми фотографиями цветов"
вы как и erufuu: "Откуда у меня в посту цветы????? хееелп.. я же их не люблююю"
тоже цветы не любите? :))
subaur
0
0
я не особо люблю цветы:) я больше мясо люблю:))
:))) нет, я их тоже неупотребляю, мне на них смотреть нравится.
Или вы на мясо... о_О ?
смотрю немного перед тем как употребить:))
в следующий раз появится запись с заголовоком "День Мяса на Yvision!" текстом "Когда вы последний раз ели мясо?"
до курбан-байрама ещё 2 месяца
можно, чтобы сделаться такой, как Ваш ник. Да, пожалуй. Двойную порцию и побыстрее
охохо, Донеррр. Знали бы вы какой из него делают Бурса Искендерррр. Хочу!
йа тоже. Познакомьте меня с этим Бурсой, я буду у него одной из самых надоедливых прожор
(34.51 Kb, 400x267)

вот и мясо и юви налетело в оранжевом)
хватит искушать. Я вообщем на диете от донеров. Боюсь до вечера не дотяну
erufuu
0
0
мы сразу догадались что это ты)
но ответь мне, перед атакой цветами я написала пост. при написании даже сохраняла его пару раз, чтобы наверняка никуда не пропал. но он пропал. кто в ответе за него?
кажется, причина в этом. цитирую:
"К моему глубочайшему сожалению, администрация удалила все эти записи с цветами, хотя пользователи, при желании, могли сделать это сами. Интересно также, что удалены были ни только эти записи но и все записи с обсуждениями, как кто то назвал, "цветочного бунта"!"

или этот пост был посвящен чему-то другому?..
этот пост не был посвящен цветам, я даже про цветы на момент написание поста не знала.
нет, я здесь ни при чём.
Хотя технически, используя этот баг, можно удалить все ваши записи.
lolya
0
0
Надеюсь будет много еще чего
>>allowScriptAccess
мда - обычно брешь кроют
будем рады видеть такие праздники чаще
у меня вот давно зреет вопрос=)
это вы таким красивым образом указываете разработчикам на ошибки?) то есть, делаете благое дело, правильно я понимаю?
таким образом я многому учусь, при этом стараюсь чтобы это было нескучно и без вреда платформе. Расработчики, насколько я понял по отзыву, благодарны.
значит все-таки благое дело=))
во всяком случае, это оригинально))
нет. первый вариант был правильным. РаСРАботчики от слова "СРАть"
НЕТ, я тоже разработчик, ненадо так!
Просто буквы S и Z находятся очень близко друг к другу, а я пишу на транслите.
дык я не о Вас. Просто как называть тех кто оставляет такие серьезные дыры на сайте?
так нужно называть тех, кто делает системы и технологии настолько грамоздкими и запутаными что становится всё труднее сделать что то неуязвимое.
Вот оно че. Прикольно. Я то думал и правда с серьезными намерениями люди шлют сообщения.
cypher
0
0
я сразу понял что тут не чисто) проигнорил письмо)
зачот!
это из-за этих "шуток" юви тормозит сегодня?..
ftw
0
0
просто юзайте флешблок и носкрипт товарищи, как говориться: "Спасение утопающих - дело рук самих утопающих"
страшного ничего в цветах не узрел, даже хочу сказать спасибо автору
интересно было раскопать причины и разобрать по порядку)
OhShi
0
0
Один раз так пошутить - когда была первая запись об этой дырке - весело и круто. Два и более раз - уебанство и позёрство.
ща тебя как и меня обвинят в зависти и толпа безмоглых жополизов заминусует :)
ребята, вас ведь никто неоскорблял и неоскорбляет, зачем так напрягатся?
меня оскорбляет то, что моя почта была заспамлена уведомлениями о новых ЛС. И то, что на мне отрабатывают свои кулхацкерские навыки.
мне понятна ваша позиция. спасибо что зашли.
1. Ты создал неудобства большому количеству народа (мне в том числе) только затем, чтобы ещё раз показать, что нашел дыру.
2. Сделал пост в стиле "я нашел дырку и делаю через неё вам гадости, это же так круто".
3. Хочешь написать пост с тех. деталями, что бы уже не один ты, а легион школьников гадил через эту дырку.

Считаешь, что недостаточно причин напрягаться?
незнаю чем вы занимаетесь в реальной жизни, но учитывая сколько времени вы тратите здесь, смею предположить что вы неособо занятой человек.
Поэтому лично вам приножу свои виртуальные извинения за ваше потерянное виртуальное время.
ваше видение произошедшего в виде трёх пунктов мне понятно. Урок на тему "всем неугадить" я прошёл давным давно. Поэтому добавить здесь мне к сожалению нечего.
мне кажется это можно было сделать проще, не с таким пафосом что -ли
по поводу тех. деталей
а дырочку то закрыли??
"не с таким пафосом"
уточните пожалуйста?
сделать ещё проще уже неполучилось, было отброшено несколько вариантов,дабы избежать такой вот реакции, НО...читайте комментарий выше.
При чём здесь моё время и занятость?
Вот если бы ты извинился за действия, совершаемые тобой от моего имени (ведь это ты, от моего имени, рассылал вопросы про цветы?) и пообещал оставить свою техническую реализацию при себе, что-бы не провоцировать более младших пользователей к вандализму - тогда другое дело. А так извинения не в кассу.

П.С. Переход на личности ("смею предположить что вы неособо занятой человек") - это почти то же самое, что сказать "ты всё написал абсолютно верно, но мне взападло признать это, так что лучше попробую тебя уколоть".
"уебанство и позёрство."
вам ли заводить разговор о переходе на личности?

"и пообещал оставить свою техническую реализацию при себе"
Вы думаете это имеет какую то ценность? Или вы думаете что я первый кто это нашёл? Всё что я сделал - первой публично об этом рассказал.

и думаю достаточно уже строить из себя эдаких пострадавших.
1. "Уебанство и позёрство" - характеристика твоих действий, не тебя. Сегодня ты занимаешься уебанством и позёрством, вчера занимался полезными вещами (график и счётчик), завтра будешь занимать хз чем - может опять полезными вещами, а может опять уебанством и позёрством.
2. Для меня ценности не имеет, поэтому я так не думаю. А для кучи долбоёбов имеет - им так же приятно потешить своё самолюбие когда что-то ломают, как и тебе, но они пока не обладают навыками это сделать самостоятельно.
3. Сейчас у нас есть объективный факт, что ты рассылал от моего имени сообщения, делал посты и голосовал. Я тебе указал на него, а так же на то, что твои извинения совершенно не в тему. Что в этом случае значит "достаточно уже строить из себя эдаких пострадавших"?

всё что это значит, что ВЫ продолжаете строить из себя пострадавшего, продолжаете якобы тратить своё дрогоценное виртуальное время и плюс ко всему пытаетесь убедить меня в том, что "Уебанство и позёрство" это "характеристика твоих действий" a "неособо занятой человек" это нечто другое.
Вы вовлекли меня в свою игру "перебранку", но я говорю стоп.
Всё это значит, что ты говоришь не с со мной, а с собой )):
С моей стороны это выглядит по другому. Ты спросил "зачем так напрягатся?", я тебе ответил, что не люблю когда кто-то что-то делает от моего имени без моего ведома. Ты на это отвечаешь "не строй из себя пострадавшего" и грузишь какой-то фигнёй про "драгоценное время" и извинениями за то, что меня вообще не волнует.

Так какого хуя было спрашивать, если тебе не интересен ответ?
Chehir
0
0
Гудвинд и Щи всё сказали. И вообще, я требую компенсации за то, что наблюдал во фленточке эти отвратительные половые органы растений.
ещё один ненавистник цветов? :)
вы такой смешной:)было весело!
только тихо, здесь проявление смеха, веселья и других светлых чувств неприветствуется.
а я понять не могла что за ерунда))
Все конечно весело и интересно, но с почтой и спамом был явный перебор
ну да, лучше бы просто покрыл всех матом, и тогда это вызвало бы такой резонанс, всех бы потянуло на философию, размышления.
не надо утрировать
просто вам не кажется, использование других пользователей, для того что бы просто показать баг не совсем правильно
показали бы баг в своих записях и все
я не утрирую, оно так и есть, последние пару месяцев это подтверждают.
Блог платформа - есть пользователи. кого же мне ещё использовать?
о баге я уже говорил.
ок, использовали бы друзей знакомых и так далее
например сказали бы мне и еще кому то что вы хотите показать баг, я бы согласился бы предоставить свой блог для хакерских дел)
а так без спроса
хакерских дел - ребята опуститесь на землю.
и перестаньте строить из себя пострадавших.
блин,"хакерских дел)" скобочка, говорящая о шутливости фразы
я о том, что можно бы сделать все через тех кто согласен, а не вовлекать большую аудиторию
я об этом уже неоднократно говорил, лучше вообще невовлекать никого, оставить всё как есть и всем будет счастье.
Где то тут даже запись была про то почему у нас недоверяют SaaS. Невозможность SQL Injection мы говорят предусмотрели, что ещё пользователям надо. И тут же в комментах дают понять что безопасность для них как бы на втором месте, главное функционал, всё равно ничего приватного пользователи нехранят.
Так и здесь, сначало безопасность всем вроде бы по барабану, а когда выясняется что из этого может следовать, то оказывается что не совсем по барабану.
И сразу куча пострадавших нарисовывается.
Arrim
0
0
Настоящий хакер никогда не раскроет истинного лица. (c) Не помню кто сказал.
Это конечно хорошо, что вы находите уязвимости и рассказываете о них. Но лучше это было сделать единичным тестом и написать лично разработчикам платформы не выставляя все это на показ.
я ни хакер и ни кракер, видимо поэтому ко мне это не относится.
И ещё скажите мне пожалуйста, вы когда хотите фотографию показать вы о ней рассказываете словами или просто выставляете на показ?
Как бы вы поняли что это за баг, если бы не увидели его в действии?
В действии, которое по сути не принесло никому никакого вреда, как бы сидящие здесь бездельники не пытались доказать обратное.
ну лично я не о вреде. я так сказать об этике
Arrim
0
0
У меня есть знакомый, который ищет уязвимости на сайте, но он не хакер. Просто ему это интересно. Устраивал он и показательные выступление, дабы обратить внимание администраторов ресурса. Но не выставлял свое имя на показ, просто писал в личку админам сайте с описанием уязвимости и по возможности как исправить.
я рад за вашего знакомого, только понять не могу причём здесь я?
Вы? А вы чем то на него похожи. Вот только он соблюдает, как сказал Ренат этику.
Этика - "Термин впервые употреблён Аристотелем как обозначение особой области исследования «практической» философии, ибо она пытается ответить на вопрос: что мы должны делать? Основной целью этики Аристотель называл счастье — деятельность души в полноте добродетели, то есть самореализацию. Самореализация человека — это разумные поступки, которые избегают крайностей и держатся золотой середины. Поэтому основная добродетель — это умеренность и благоразумие."

Сам удивился когда прочитал, потомучто как раз описывает мои мотивы.
Но обратите внимание, понятие "крайностей", "благоразумия" и "умеренности" у всех может быть разным. И должен признаться, считаю себя довольно благоразумным человеком, иногда даже чрезмерно.

Получается, вы пытаетесь навязать мне какую то свою, на ваш взгляд самую правильную, этику поведения?
Grozby
0
0
а мне понравилось=)))
что вы все так взъелись? он же не взломал вашу почту с личными данными. просто немного поразвлекся человек, при этом принеся платформе, немного цветов, и пользы=)
не удивлюсь, если и цветок "заинфекцирован" =)
сразу догодался что это ты)))

(185.91 Kb, 1024x768)
не смотрите долго на этот цветок, иначе Happy проникнет в ваш мозг!
сначал в пк, потом в сознание, потом будет снится в снах, а потом вы будете приходить ко мне в лавку и покупать наши с Виталием цветы)
да, там в одном посте уже была идея пропиарить Лавку Цветов таким образом.
ты подожди, откроем свою и будем пиарить её)
мне было далеко не смешно. До сих пор кучка непросвещенных пишет мне в ЛЧ сообщения о том, когда и кто им дарил цветы. Это напрягает. Не хорошо сделали, за что Вам мой большой и жирный минус!
помнится мне когда плюсики на записях появлялись вы искренне выражали свою радость в комментариях.
Так вам люди когда отвечают хамят или что, неужели так сильно раздражает?
большой жирный минус это образно за Ваши вчерашние проделки. Плюс в карму я Вам поставила давно, не жалею. Но вчерашняя херня меня убила. Зачем было припудривать сообщения в Личку. Хамства не было, хамила по большей степени я, за нервы и цветы. Это действительно меня так сильно раздражает , до сих пор!!!
зачем тётя дядю ругает(
(24.97 Kb, 366x350)
чтобы дядя больше не шалил и цветы не дарил, хотя бы тете
ладно дяди, но нынче даже тёти не любят цветы.
...вирутальные
Особенно в таком количестве как вчера
жалко, я специально подбирал ландыши, ромашки, фиалки...
Вы точно издеваетесь. Жесток однако
а глазки то какие голубые)
нет, я правдо подбирал
это может как в выражений. подаришь девушке миллион аллых роз,а она скажет мне нужна одна , но белая. может с цветами не угадал?)
скорее с количеством переборщил
Изумительно. Вы просто гений душевной и технической красоты. Мои фанфары!!!
Всё равно минус, за беспокойство и оскорбление чужих неповинных людей.
похоже и цветы ни те и колличество ни то. Пойду оттачивать мастерство.
а вот если было бы это в жизни тож так сказала бы?)
чем заваливать будем? брюликами?)
везде должно быть чувство меры.
(Я жмот, мне бы столько не подарили)
вот за что действительно извиняюсь, так это за это:
Samson via Twitter: "пиздец. всех разбудил, сейчас будем латать дыры."
Но такова уж наша доля разработчиков.

Вообще то всё планировалось на сегодня, но во время теста не успел удалить один пост, кто то успел подхватить и пошла цепная реакция.
D1kz
0
0
Доля разработчика ^^ даже тесты не успели до конца завершить )
Не знаю, у кого там что выросло, а у меня карма понизилась почти на сорок пунктов) Видимо, во мне узрели главного цветочника нелюбители виртуальной цветочной пыльцы)
вас обильно и старательно минусуют с 17го сентября, так что поищите причины в другом месте.
эх, уж и шутить нельзя с вами тут...
можно! просто от всеобщих нападок уже не замечаю где шутки где принтензии.
Arian
0
0
Интересно, я даже не понял создалась ли запись от моего имени в тот день? как проверить?)
нет, похоже не создалась, я проверил
крутой чел и подход оригинальный и уравновешенный, крут
спасибо за добрые слова :)
remnew
0
0
tsvayer - человек в белой шляпе. респект.
* кто знает о чем речь - тот поймет про шляпу.
наконец то понятная мне речь :) а то уже запинали меня тут :)
Удивился, что все ответившие (около 12) не спрашивают зачем вопрос, так еще и могут интересную историю рассказать в ЛС :) позитив, спасиб
faiwer
0
0
"база данных с пользователями yvision и текущей информацией" - то есть таблица хешей от паролей у вас?
да скорее всего имя, текущая карма, и что еще что нить)
нет не у меня. но как вы видите они и не нужны.
faiwer
0
0
Ну одно дело такие шуточки или спам, и совсем другое дело доступ к чужим аккаунтам на других порталах :)
а другие порталы написаны на сверхсекретном языке програмирования, супер людьми и вообще подключены они ни к интернету?
У большинства юзеров один и тот же пароль на большинстве порталов не связанных с финансами, я это имел ввиду. Зная хэш-функцию и сам хэш, можно брутом вычислить все возможные коллизии (вроде так называется, забыл), выбрать из них наиболее похожее на пароль...
пардон, теперь понял.
да, одинаковые пароли это реальная проблема.
tsvayer красавчик, не обращай внимания на "пострадавших", ты просто указал на баг. Причем очень красиво указал с цветами..) наверное тупой вопрос, просто интересно, какой университет заканчивал? Кбту или СДУ?
стараюсь необращать, но ведь цветы были для них :)
заканчивал ITU (Istanbul Technical University)
Olegon
0
0
зачетно!
хорошо, что тебя не забанили :)
Какой еще бан? Спасибо от имени всей администрации. :)
привет от меня всей администрации :)
вот за такие слова выше вашего коммента я с особой нежностью отношусь к разработчикам юви))
cypher
0
0
даже если открою очередной раз ювижн и увижу надпись "YVISION вас забанил" не удивлюсь))
Сцуко! Я думал уже... кому выбивать зубы!!!

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Я был удивлён, что в Азербайджане есть Казахский район

Я был удивлён, что в Азербайджане есть Казахский район

Мне как казаху по национальности очень хотелось туда попасть. Оказалось, что климат там намного суровей и люди, говорят, суровые и воинственные. Казах – город на западе Азербайджана...
alidimash
18 янв. 2017 / 21:50
  • 31103
  • 18
Астана глазами алматинских девушек. Как при таких погодных условиях можно выжить?

Астана глазами алматинских девушек. Как при таких погодных условиях можно выжить?

В спальных районах, и в высотных домах сквозь стены слышно завывание ветра. В особенности ночью. Такие звуки, я слышала, пожалуй, только по телевизору, в фильмах про метель.
Naomi_K
20 янв. 2017 / 12:36
Сильное ДТП произошло в Алматы на Тимирязева-Байзакова

Сильное ДТП произошло в Алматы на Тимирязева-Байзакова

NoComment (c) Официальный слоган EuroNews. Катастрофа на алматинской утренней трассе началась с того, что водители «Ниссана» и микровена ожидали сигнала светофора на запад по Тимирязева...
ibestreporter
17 янв. 2017 / 22:52
  • 4008
  • 5
Это поколение просрет страну. 20-летняя молодежь представляет из себя сказочных эльфов

Это поколение просрет страну. 20-летняя молодежь представляет из себя сказочных эльфов

Смотря в очередные пустые глаза вчерашнего студента, приходящего устраиваться на первую работу страшно становится. Потому что сравниваю с теми же китайскими студентами, которые готовы выгрызать себе мечту.
mbaitykov
18 янв. 2017 / 11:34
Разрубить сирийский узел. Казахстан как миротворец сделает невозможное?

Разрубить сирийский узел. Казахстан как миротворец сделает невозможное?

Только что в Астане начались межсирийские переговоры. Событие это примечательно не столько содержанием и ожидаемыми результатами, а самим фактом.
openqazaqstan
вчера / 13:35
  • 3628
  • 16
Становится хуже, но как-то постепенно. Беднеем, но тоже как-то не разом

Становится хуже, но как-то постепенно. Беднеем, но тоже как-то не разом

Помню, когда я уезжал и Казахстана, тут было довольно прилично, даже не смотря на то, что жить было невыносимо. Но прилично так. Мусора было меньше. Дороги чистили, вони почти не было. Да и в остальном тоже норм.
shootnix
18 янв. 2017 / 12:49
  • 3962
  • 36
Поправки в стиле «1937» не прошли. МИК отказалось от запрета анонимных комментариев

Поправки в стиле «1937» не прошли. МИК отказалось от запрета анонимных комментариев

Сегодня Министерство информации и коммуникаций исключило из законопроекта предложенные ранее нормы, предполагавшие «деанонимизацию» комментаторов и регистрацию блогеров.
openqazaqstan
20 янв. 2017 / 12:12
  • 2532
  • 22
Почему мужчины используют некоторых женщин? Случай из жизни

Почему мужчины используют некоторых женщин? Случай из жизни

Однажды мне довелось приеxать к своей сестре в другой город с ночевкой. Она живет одна и ей почти 33 и она не замужем. Лично я считаю, что её старой девой называть рано, она все еще открыта для...
Roza_pvl
19 янв. 2017 / 15:32
  • 2941
  • 94
Пожив в Китае, привыкаешь к вопросам типа «Ты что, не китаянка?»

Пожив в Китае, привыкаешь к вопросам типа «Ты что, не китаянка?»

Привет всем) Сегодня хотелось бы поделиться ощущениями, какого это быть "чужой" среди "своих" Около одного года проживаю в Китае, и уже сама начинаю верить, а иногда даже задумываться о вероятности...
asemik07
20 янв. 2017 / 18:52
  • 2370
  • 19