Серьезная дыра с выходом из сети

В предыдущем своем проекте обнаружил дыру, которую решил проверить в этом движке и она сработала.

Суть в следующем: если в посте или в комментарии опубликовать ссылку /login/exit, то каждый нажавший ее пользователь будет разлогинен (аналог ссылке «выход» возле имени юзера справа сверху).

В посте линк не привожу по понятным причинам. Желающие могут попробовать в своих проектах.

Так как для апача оба этих линка выглядят одинаково, в текущей реализации выход вижу пока один — добавление к правильному линку «выход» случайного get-параметра, который максимально сложно будет подделать и проверять его на сервере. Либо перевести линк на post.

Отдельная тема для размышления — проверка всех прочих «системных» ссылок на подделку и возможные последствия для рядовых посетителей.

42 комментария

avatar
в чем дырка?
это из разряда — если в посте разместить ссылку на яшу вида
<a href="http://google.com">ya.ru</a>
, то любой нажавший перейдет на гугль…
  • ort
  • +3
avatar
при выходе убивается сессия пользователя
думаю, что мало кто из юзеров будет этому рад
avatar
ну в таком случаи я нашел серьёзный баг в Яндексе
passport.yandex.ru/passport?mode=logout

теперь ваша почта в моих руках! :)
avatar
Мне везет, тоже своя почта :)
avatar
На самом деле ничего смешного, если кто-нибудь вставит img с разлогиниванием в пост на первой странице. И никто на сайте залогиниться больше на сможет. Придется админу лезть в базу и вычищать сюрприз-невидимку.

Одно дело такой прикол в письме получить — удалил письмо и все дела. И совсем другое — на странице сообщества, которую просматривает заметно больше сотни зарегистрированных пользователей в день.
avatar
а в чём собственно проблема то? у 90 процентов сайтов так же. Не могу понять в чём дырка то, в том что пользователь выйдет по нажатию, как мне кажется после этого он сможет смело зайти и не нажимать на эту ссылку отминусовав её.
  • ArCH
  • 0
avatar
Зачем по нажатию? Элементарно сделать и по просмотру.
avatar
да уж, не каждый топик может похвастаться таким надором тегов :))
avatar
приучите парсер заменять такую ссылку на что нибудь безобидное и всё
  • Vilz
  • 0
avatar
Вам бы, батенька, заголовки для газет писать. Талант! ))
avatar
Топикстартер где-то раздобыл забористую траву. Вы в своем уме? Какая на фиг дыра в безопасности? LOL да и только
  • xRay
  • +1
комментарий был удален
комментарий был удален
комментарий был удален
комментарий был удален
avatar
Народ вы на дату смотрели? :-)

Вам больше делать нечего — пинаете тут старые топики :-)
avatar
Это organic в «капкан» угодил.
avatar
Слов нет. Кто здесь собрался? Вы считаете, что топикстартер не затронул проблему?
Хабрахабр взломы начинались тоже потихоньку — вначале с массового разлогирования путем
<img src="habrahabr.ru/logout">

Потом таким же гет-методом накрутки кармы, и наконец черный властелин на главной.
Верной дорогой идете товарищи.
avatar
А товарищ дело говорит.
avatar
Решение проблемы простое — сделать линк вида:
http://livestreet.ru/login/exit/some_uniq_key/
avatar
POST?
avatar
жаль только щас увидел, посмеялся, ТС 5+ за юмор
avatar
Похоже ТС с датой промахнулся… первоапрельскую шутку только 17 числа написал. А люди-то не оценили :-)
avatar
Вот над этим еще посмейтесь —
Все еще смешно?
ЗЫ: да простит меня святая инквизиция.
avatar
Да все понятно, но долго этой фигней кто-то будет заниматься?

Честно говоря я с самого начала даже и не увидел ничего, так как картинки отключены :-)

Конечно, это может попортить нервы модераторам. Если раскидать по всем темам, то будет здорово.

Вообще да, соглашусь, если будет заказ, то в системе можно устроить большой разбой. Но усилий надо уйма.
avatar
Было бы неплохо, если бы это было исправлено.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.