Super video. Tyto věci jsem studoval na cysa+ certifikaci a vidět to v praxi je moc zajímavé a lépe jsem to pochopil. Btw doufám že prachy na individuální bug bounty program šly z budgetu na prémie securitaku ze seznamu 😂 I když ta částka je směšná vzhledem k úsilí a kritičnosti. Super způsob takhle veřejně to reportovat, do budoucna určitě pomůže profesně. Good luck 👍
Skvělá práce, díky Vaší důmyslnosti je seznam o trochu bezpečnější, což je dobrá zpráva pro všechny uživatele. Jen ten dress-code mi (byť na white hat) hackera úplně nesedí ;-)
10:36 Chrom ma v sebe zabudovane "ochrany" (alebo firefox nie som si istí ) proti xss takže napr. klasickí payload nebude fungovať. preto to napr. v opere fungovať môže. * 11:34 XDD aha tak to bol problém zaujímavé.
seznam opravil aj ten cookie managment aby sa session nedala vyzobnuť javascriptom alebo opravili iba tú xss injekciu v tom reklamnom banery? ak opravili iba vektor tej injekcie tak sa dá očakávať že tam majú ešte kostlivcov v kode alebo ich tam budú časom mať.
dokážeš aj sietový hacking alebo iba útoky web perimeter? Mne príde že webové zranitelnosti sú zaujimavé iba v takýchto mäsovo používaných aplikáciach ako je seznam, ale sieť mi príde "za malo prace hodne muziky" .. a miskonfiguracia a chyby v sieti má hodne firiem
Momentálně mám rozepsaný writeup. Pak proběhne schválení obsahu danou společností. Pokud půjde všechno dobře, tak do 2-3 týdnů budu zveřejňovat jak nový článek tak i video
Asi nerozumím. Session lze získat z libovolného prohlížeče, pokud je uživatel aktuálně přihlášený. Jde jen o to, jakým způsobem. Ve videu ukazuju, jak bylo možné získat session cizího účtu pouze tím, že uživatel používal internet běžným způsobem.
Session hijacking není úplně jen problém na Seznamu, třeba LinusTechTips se s tím pral i na RUclips, když ukradli celé LTT portfólio. Vždy je to jiný útok, ale většinou moc velké zabezpečení session není. Přitom by teoreticky vzato jen stačilo do Session přidat IP adresu, se kterou se user loguje. Pokud nesedí při switchování stránek, prostě invalidate a logout.
Ne, nebál jsem se. Vše je vysvětleno v úvodním videu - své postupy konzultuji s advokátní kanceláří zaměřující se na kyberbezpečnost. Pokud by na mě chtěli dát trestní oznámení, moc by neuspěli.
@@pavelboucek9304 Jak víte, že to nedělá? Googlu bylo v minulém roce nahlášeno přes 2900 bezpečnostních chyb. Znamená to, že Google nedělá bezpečnostní testy?
@@MarekToth-CZ Pokud neupozornili uživatele na sdílení schránky resp. přeposílání pošty a neposílají na to pravidelné upozornění (jako to dělá třeba Google) a zároveň chtějí tutlat 0-click zranitelnost, která by už měla být opravená, vypovídá to dostatečně o přístupu Seznamu k bezpečnosti uživatelů.
Chápu správně, že session cookie byla uložena jako http-only, takže ji nelze číst pouhým XSS a proto bylo potřeba těch session cookies v response body na některých endpointech?
@@MarekToth-CZ Tak ono už fakt, že se Vám podařilo najít několik míst přístupu na XSS je pro ně minimálně podnět pro revizi všech uživatelských vstupů.
To ověřování dle IP adresy je problematické, protože existuje něco jako dynamická IP adresa, která se může v průběhu připojení změnit (to také zapřičiňuje dočasné chyby jako "network change detected" v Chromu). Z toho důvodu není možné ověřovat session podle IP adresy, protože se IP adresa může najednou změnit, zcela náhodně a nečekaně.
tady jde spíš o mobily :D Jednou jsi na školní wifině, jednou v mekáči, pak na datech, které mají furt jinou ip. Úplně nechceš, aby tě messenger odhlašoval pokaždé, co se pohneš :D
Pokud už bude mít někdo podezření, snad by pomohlo, kdyby se nejdříve odhlásil, potom smazal cookies, zrestartoval, přihlásil se znova, změnil heslo a vypnul cookies třetích stran.
Ne, to by opravdu nepomohlo. Všechny session (cookies) už dávno smazal Seznam. Změna hesla nebo vypnutí cookies třetích stran nemá žádný vliv na funkce "Sdílení schránky" nebo "Pravidla", které mohl útočník ovlivnit. To je i důvod, proč tyto sekce doporučuji zkontrolovat.
Hello Moto. 🤣Ano, Marek Toth a zástupce firmy Motorola, která mi .. ano .. posílá mobily zdarma. Takže .. Strach lže a ty mu věříš (viz můj profil, linky). A tadidádidá ... to jsem měl říct já? Ano, a vo tom to je.
Super video. Tyto věci jsem studoval na cysa+ certifikaci a vidět to v praxi je moc zajímavé a lépe jsem to pochopil. Btw doufám že prachy na individuální bug bounty program šly z budgetu na prémie securitaku ze seznamu 😂 I když ta částka je směšná vzhledem k úsilí a kritičnosti. Super způsob takhle veřejně to reportovat, do budoucna určitě pomůže profesně. Good luck 👍
Skvělá práce, díky Vaší důmyslnosti je seznam o trochu bezpečnější, což je dobrá zpráva pro všechny uživatele. Jen ten dress-code mi (byť na white hat) hackera úplně nesedí ;-)
Borec se vyparadi a stejne dostane bidu.
Super práce
"8 milionů aktivních mailových schránek" Jsem rád, že mezi ně nepatřím. Na Seznam jsem zanevřel více jak před 10 lety.
tak pokud používáš jakoukoliv službu od Googlu, tak tvoje tvrzení a přístup k věci nemá žádnou váhu:D
@matous96 dík za info, hned se mi žije lépe.
10:36 Chrom ma v sebe zabudovane "ochrany" (alebo firefox nie som si istí ) proti xss takže napr. klasickí payload nebude fungovať. preto to napr. v opere fungovať môže. * 11:34 XDD aha tak to bol problém zaujímavé.
..klobuk dole ..takto to cele dotiahnut ...nie len najs XSS ... respekt :)
seznam opravil aj ten cookie managment aby sa session nedala vyzobnuť javascriptom alebo opravili iba tú xss injekciu v tom reklamnom banery? ak opravili iba vektor tej injekcie tak sa dá očakávať že tam majú ešte kostlivcov v kode alebo ich tam budú časom mať.
o bezpečnosti seznamu se ví už velmi dlouho, osobně nechapu jak to někdo může využívat jako svůj main email. :D
ani se to pochopit nesnaž, evidentně na to nemáš.
dokážeš aj sietový hacking alebo iba útoky web perimeter? Mne príde že webové zranitelnosti sú zaujimavé iba v takýchto mäsovo používaných aplikáciach ako je seznam, ale sieť mi príde "za malo prace hodne muziky" .. a miskonfiguracia a chyby v sieti má hodne firiem
17:05 Na iphonu se adblock pouziva :-)
Jaký byl prosím použit odkaz na FaceBooku v 47:03? Využil jste chyby na straně YouTubu?
Využívám dlouho neopravené chyby na straně Facebooku (chybu nechtějí ani opravovat). Pro více informací prosím o napsání zprávy.
kdy bude další video?
👀
Momentálně mám rozepsaný writeup. Pak proběhne schválení obsahu danou společností. Pokud půjde všechno dobře, tak do 2-3 týdnů budu zveřejňovat jak nový článek tak i video
Bavil jste se s nimi o možnost vyhlásit Bug bounty program, mají ho, chtějí?
Momentálně mají pouze interní Bug Bounty program pro zaměstnance. BB pro veřejnost prý plánují.
Mám adblock i na telefonu ale seznam nepoužívám
hacknout se dá i google učet všechno a když se na tebe někdo zaměří neuděláš nic.
Tak že pokud se nepřihlásim někde na cizím PC tak ten session nelze ziskat?
Asi nerozumím. Session lze získat z libovolného prohlížeče, pokud je uživatel aktuálně přihlášený. Jde jen o to, jakým způsobem. Ve videu ukazuju, jak bylo možné získat session cizího účtu pouze tím, že uživatel používal internet běžným způsobem.
Bros v seznamu použili innerHTML 🤣
Session hijacking není úplně jen problém na Seznamu, třeba LinusTechTips se s tím pral i na RUclips, když ukradli celé LTT portfólio. Vždy je to jiný útok, ale většinou moc velké zabezpečení session není. Přitom by teoreticky vzato jen stačilo do Session přidat IP adresu, se kterou se user loguje. Pokud nesedí při switchování stránek, prostě invalidate a logout.
zdarec inao, kdy bude dalsi skid update 😎
@@Hit6PvP Asi už nebude :( Kdo ví, kde je LiquidDev
@@inao-cz zmizel jak lemon :(
@@Hit6PvP jo no :(
A nebál jste se, že na Vás podají trestní oznámení, že jste si dovolil stlačit klávesu F12 a říct jim, že něco mají špatně?
Ne, nebál jsem se. Vše je vysvětleno v úvodním videu - své postupy konzultuji s advokátní kanceláří zaměřující se na kyberbezpečnost. Pokud by na mě chtěli dát trestní oznámení, moc by neuspěli.
V podstatě se jedná o etický hacking... tohle má dělat seznam sám...
@@pavelboucek9304 Jak víte, že to nedělá? Googlu bylo v minulém roce nahlášeno přes 2900 bezpečnostních chyb. Znamená to, že Google nedělá bezpečnostní testy?
@@MarekToth-CZ A řekl jsem snad, že to nedělá? ;D
@@MarekToth-CZ Pokud neupozornili uživatele na sdílení schránky resp. přeposílání pošty a neposílají na to pravidelné upozornění (jako to dělá třeba Google) a zároveň chtějí tutlat 0-click zranitelnost, která by už měla být opravená, vypovídá to dostatečně o přístupu Seznamu k bezpečnosti uživatelů.
Chápu správně, že session cookie byla uložena jako http-only, takže ji nelze číst pouhým XSS a proto bylo potřeba těch session cookies v response body na některých endpointech?
Přesně tak. Session cookie v response body bylo možné přečíst pomocí XSS, bylo ale nutné zachovat Same-Origin-Policy.
Sám jsem si to vyzkoušel na své schránce a bohužel je to funkční :(
Co je funkční? Popisované bezpečnostní chyby (XSS, Session v response body...) jsou již opraveny.
Jak se na to v Seznamu tvářili? 🙂
Na jednu stranu zhrození, že tam takováto chyba byla. Na druhou stranu byli velmi rádi, jelikož na ní někdo zodpovědně upozornil :)
@@MarekToth-CZ Tak ono už fakt, že se Vám podařilo najít několik míst přístupu na XSS je pro ně minimálně podnět pro revizi všech uživatelských vstupů.
To ověřování dle IP adresy je problematické, protože existuje něco jako dynamická IP adresa, která se může v průběhu připojení změnit (to také zapřičiňuje dočasné chyby jako "network change detected" v Chromu). Z toho důvodu není možné ověřovat session podle IP adresy, protože se IP adresa může najednou změnit, zcela náhodně a nečekaně.
co třeba zapnutí dat/fifiny, na to nepotřebuješ žádnou dynamiku
tady jde spíš o mobily :D Jednou jsi na školní wifině, jednou v mekáči, pak na datech, které mají furt jinou ip. Úplně nechceš, aby tě messenger odhlašoval pokaždé, co se pohneš :D
Pokud už bude mít někdo podezření, snad by pomohlo, kdyby se nejdříve odhlásil, potom smazal cookies, zrestartoval, přihlásil se znova, změnil heslo a vypnul cookies třetích stran.
Ne, to by opravdu nepomohlo. Všechny session (cookies) už dávno smazal Seznam. Změna hesla nebo vypnutí cookies třetích stran nemá žádný vliv na funkce "Sdílení schránky" nebo "Pravidla", které mohl útočník ovlivnit. To je i důvod, proč tyto sekce doporučuji zkontrolovat.
Hello Moto. 🤣Ano, Marek Toth a zástupce firmy Motorola, která mi .. ano .. posílá mobily zdarma. Takže .. Strach lže a ty mu věříš (viz můj profil, linky). A tadidádidá ... to jsem měl říct já? Ano, a vo tom to je.
ezopicus