Super video. Tyto věci jsem studoval na cysa+ certifikaci a vidět to v praxi je moc zajímavé a lépe jsem to pochopil. Btw doufám že prachy na individuální bug bounty program šly z budgetu na prémie securitaku ze seznamu 😂 I když ta částka je směšná vzhledem k úsilí a kritičnosti. Super způsob takhle veřejně to reportovat, do budoucna určitě pomůže profesně. Good luck 👍
@guidanceisinternal5442
Жыл бұрын
Skvělá práce, díky Vaší důmyslnosti je seznam o trochu bezpečnější, což je dobrá zpráva pro všechny uživatele. Jen ten dress-code mi (byť na white hat) hackera úplně nesedí ;-)
@ronniepickering7064
Жыл бұрын
Borec se vyparadi a stejne dostane bidu.
@matous96
Жыл бұрын
"8 milionů aktivních mailových schránek" Jsem rád, že mezi ně nepatřím. Na Seznam jsem zanevřel více jak před 10 lety.
@MACFANTASTICKYPESS
Жыл бұрын
tak pokud používáš jakoukoliv službu od Googlu, tak tvoje tvrzení a přístup k věci nemá žádnou váhu:D
@SKPengineering
Жыл бұрын
@matous96 dík za info, hned se mi žije lépe.
@devieance5568
Жыл бұрын
o bezpečnosti seznamu se ví už velmi dlouho, osobně nechapu jak to někdo může využívat jako svůj main email. :D
@SKPengineering
Жыл бұрын
ani se to pochopit nesnaž, evidentně na to nemáš.
@landsman737
Жыл бұрын
Super práce
@rado5713
Жыл бұрын
..klobuk dole ..takto to cele dotiahnut ...nie len najs XSS ... respekt :)
@CZghost
Жыл бұрын
To ověřování dle IP adresy je problematické, protože existuje něco jako dynamická IP adresa, která se může v průběhu připojení změnit (to také zapřičiňuje dočasné chyby jako "network change detected" v Chromu). Z toho důvodu není možné ověřovat session podle IP adresy, protože se IP adresa může najednou změnit, zcela náhodně a nečekaně.
@filda2005
Жыл бұрын
co třeba zapnutí dat/fifiny, na to nepotřebuješ žádnou dynamiku
@matejpesl1
Жыл бұрын
tady jde spíš o mobily :D Jednou jsi na školní wifině, jednou v mekáči, pak na datech, které mají furt jinou ip. Úplně nechceš, aby tě messenger odhlašoval pokaždé, co se pohneš :D
@MKVideoful
Жыл бұрын
A nebál jste se, že na Vás podají trestní oznámení, že jste si dovolil stlačit klávesu F12 a říct jim, že něco mají špatně?
@MarekToth-CZ
Жыл бұрын
Ne, nebál jsem se. Vše je vysvětleno v úvodním videu - své postupy konzultuji s advokátní kanceláří zaměřující se na kyberbezpečnost. Pokud by na mě chtěli dát trestní oznámení, moc by neuspěli.
@pavelboucek9304
Жыл бұрын
V podstatě se jedná o etický hacking... tohle má dělat seznam sám...
@MarekToth-CZ
Жыл бұрын
@@pavelboucek9304 Jak víte, že to nedělá? Googlu bylo v minulém roce nahlášeno přes 2900 bezpečnostních chyb. Znamená to, že Google nedělá bezpečnostní testy?
@pavelboucek9304
Жыл бұрын
@@MarekToth-CZ A řekl jsem snad, že to nedělá? ;D
@unextro
Жыл бұрын
@@MarekToth-CZ Pokud neupozornili uživatele na sdílení schránky resp. přeposílání pošty a neposílají na to pravidelné upozornění (jako to dělá třeba Google) a zároveň chtějí tutlat 0-click zranitelnost, která by už měla být opravená, vypovídá to dostatečně o přístupu Seznamu k bezpečnosti uživatelů.
@M1kY28
Жыл бұрын
hacknout se dá i google učet všechno a když se na tebe někdo zaměří neuděláš nic.
@landsman737
Жыл бұрын
Bavil jste se s nimi o možnost vyhlásit Bug bounty program, mají ho, chtějí?
@MarekToth-CZ
Жыл бұрын
Momentálně mají pouze interní Bug Bounty program pro zaměstnance. BB pro veřejnost prý plánují.
@honzosaurus42069-no_furry
Жыл бұрын
Bros v seznamu použili innerHTML 🤣
@tomasvideo7216
Жыл бұрын
10:36 Chrom ma v sebe zabudovane "ochrany" (alebo firefox nie som si istí ) proti xss takže napr. klasickí payload nebude fungovať. preto to napr. v opere fungovať môže. * 11:34 XDD aha tak to bol problém zaujímavé.
@adrianurban422
Жыл бұрын
seznam opravil aj ten cookie managment aby sa session nedala vyzobnuť javascriptom alebo opravili iba tú xss injekciu v tom reklamnom banery? ak opravili iba vektor tej injekcie tak sa dá očakávať že tam majú ešte kostlivcov v kode alebo ich tam budú časom mať.
@dadazizala5271
Жыл бұрын
17:05 Na iphonu se adblock pouziva :-)
@inao-cz
Жыл бұрын
Session hijacking není úplně jen problém na Seznamu, třeba LinusTechTips se s tím pral i na KZitem, když ukradli celé LTT portfólio. Vždy je to jiný útok, ale většinou moc velké zabezpečení session není. Přitom by teoreticky vzato jen stačilo do Session přidat IP adresu, se kterou se user loguje. Pokud nesedí při switchování stránek, prostě invalidate a logout.
@Hit6PvP
Жыл бұрын
zdarec inao, kdy bude dalsi skid update 😎
@inao-cz
Жыл бұрын
@@Hit6PvP Asi už nebude :( Kdo ví, kde je LiquidDev
@Hit6PvP
Жыл бұрын
@@inao-cz zmizel jak lemon :(
@inao-cz
Жыл бұрын
@@Hit6PvP jo no :(
@adrianurban422
Жыл бұрын
dokážeš aj sietový hacking alebo iba útoky web perimeter? Mne príde že webové zranitelnosti sú zaujimavé iba v takýchto mäsovo používaných aplikáciach ako je seznam, ale sieť mi príde "za malo prace hodne muziky" .. a miskonfiguracia a chyby v sieti má hodne firiem
@NomisCode
Жыл бұрын
Jaký byl prosím použit odkaz na FaceBooku v 47:03? Využil jste chyby na straně YouTubu?
@MarekToth-CZ
Жыл бұрын
Využívám dlouho neopravené chyby na straně Facebooku (chybu nechtějí ani opravovat). Pro více informací prosím o napsání zprávy.
@cybersec0x004
Жыл бұрын
Chápu správně, že session cookie byla uložena jako http-only, takže ji nelze číst pouhým XSS a proto bylo potřeba těch session cookies v response body na některých endpointech?
@MarekToth-CZ
Жыл бұрын
Přesně tak. Session cookie v response body bylo možné přečíst pomocí XSS, bylo ale nutné zachovat Same-Origin-Policy.
@playmr3654
5 ай бұрын
kdy bude další video?
@HrustakV
5 ай бұрын
👀
@MarekToth-CZ
5 ай бұрын
Momentálně mám rozepsaný writeup. Pak proběhne schválení obsahu danou společností. Pokud půjde všechno dobře, tak do 2-3 týdnů budu zveřejňovat jak nový článek tak i video
@jak2049
Жыл бұрын
Pokud už bude mít někdo podezření, snad by pomohlo, kdyby se nejdříve odhlásil, potom smazal cookies, zrestartoval, přihlásil se znova, změnil heslo a vypnul cookies třetích stran.
@MarekToth-CZ
Жыл бұрын
Ne, to by opravdu nepomohlo. Všechny session (cookies) už dávno smazal Seznam. Změna hesla nebo vypnutí cookies třetích stran nemá žádný vliv na funkce "Sdílení schránky" nebo "Pravidla", které mohl útočník ovlivnit. To je i důvod, proč tyto sekce doporučuji zkontrolovat.
@angryaquar
Жыл бұрын
Mám adblock i na telefonu ale seznam nepoužívám
@goo6396
Жыл бұрын
Tak že pokud se nepřihlásim někde na cizím PC tak ten session nelze ziskat?
@MarekToth-CZ
Жыл бұрын
Asi nerozumím. Session lze získat z libovolného prohlížeče, pokud je uživatel aktuálně přihlášený. Jde jen o to, jakým způsobem. Ve videu ukazuju, jak bylo možné získat session cizího účtu pouze tím, že uživatel používal internet běžným způsobem.
@RomanRW
Жыл бұрын
Sám jsem si to vyzkoušel na své schránce a bohužel je to funkční :(
@MarekToth-CZ
Жыл бұрын
Co je funkční? Popisované bezpečnostní chyby (XSS, Session v response body...) jsou již opraveny.
@Greghouse
Жыл бұрын
Jak se na to v Seznamu tvářili? 🙂
@MarekToth-CZ
Жыл бұрын
Na jednu stranu zhrození, že tam takováto chyba byla. Na druhou stranu byli velmi rádi, jelikož na ní někdo zodpovědně upozornil :)
@Greghouse
Жыл бұрын
@@MarekToth-CZ Tak ono už fakt, že se Vám podařilo najít několik míst přístupu na XSS je pro ně minimálně podnět pro revizi všech uživatelských vstupů.
@marekquarda8023
Жыл бұрын
Hello Moto. 🤣Ano, Marek Toth a zástupce firmy Motorola, která mi .. ano .. posílá mobily zdarma. Takže .. Strach lže a ty mu věříš (viz můj profil, linky). A tadidádidá ... to jsem měl říct já? Ano, a vo tom to je.
Пікірлер: 57