Недавно, наши друзья нашли уязвимость на уважаемом сайте Panasonic, так сказать произошел небольшой взлом Panasonic. Приятель предложил помочь их сайту «вылечить» брешь в системе магазина и сайта, конечно не бесплатно, за $$$$$. Попросили друга написать им, в «Панасоник» письмо, написали и приложили картинки (в качестве доказательства), однако эта компания никак не отреагировала. Получается, что никому ничего не надо!? Только деньги, деньги и деньги… На такой «значимый» сайт — пофигу, причём на свой, собственный. Что же получается? Да ничего. Они написали в компанию Panasonic помочь их программистам (раз те не могут сделать сайт), в ответ — тишина!!! И так, картинки в студию. Уязвимость типа XSS-атаки на сайте позволяет выполнить произвольно написанный код на самом сайте в клиентской части, и получить…
7 thoughts on “Взлом Panasonic”
Comments are closed.
Добрый день. Вы прежде чем постить это, проверяли или нет? Ваш сценарий не работает, как и любые другие, поскольку код в форме экранируется. Пост не о чём.
Уже закрыли брешь, только что проверил сам. ))))))))) Быстро подсуетились, «заэкранировали», раньше работало так говорят люди. Ну и скрины в качестве подтверждения того что было. Пост как раз «о чём», о балбесах в области IT.
Вы либо очень далеки либо не понимаете о чём пишите. В данном случае вставленный iframe даже если он имел место быть конечному пользователю опасности не нёс никакой, поскольку он применялся только к тому кто его ввёл. Т.е. по факту что вы сейчас запостили является ни чем иным как введение людей в заблуждение, не более. Xsss атаки как таковой тут нет, и это плод вашей фантизии.
Речь шла не про ифрейм, а про исполнение скрипта, на стороне Клиента (в браузере), изначально. А что мешает, в ифрейм встроить обработчик JS или что-то ещё работающее с переменными: куки, сессию…. Видать это вы далеки сами от ваших познаний.
Я вам одно вы мне другое, повторюсь как это затрагивает пользователя который зашёл на сайт? Каким образом его данные могут быть под угрозой? Ну встроили вы в iframe хоть обработчик, хоть что то ещё. Как это касается стороннего пользователя, а не конкретно того кто вбил в поле iframe? Это просто ваши игры с браузером, не более. Получить какую либо информацию кроме своей через iframe вписанный вами же просто было невозможно. А ваш пост просто показывает ваш уровень не более.
Цитирую «ваш уровень» и вы сами ответили на свой ответ: Получить какую либо информацию кроме своей через iframe… про это и шла речь, а не то что бы другим юзерам показывать или ссылку на вирь, не про это… Выделил жирным шрифтом ваш ответ на ваш ответ.
Знаете что такое «Родительское окно» и встроенный в него ифрейм? Знаете, что он «унаследует» полные свойства «родителя»? Знаете, что он прекрасно работает с «родительским окном» и может обмениваться переменными! Знаете, что с его помощью можно получить доступ к: глобальным переменным, свойствам объектов, … дальше надо объяснять или сходите подучитесь в МГТУ им.Баумана что-ли на курсы…