Super video. Tyto věci jsem studoval na cysa+ certifikaci a vidět to v praxi je moc zajímavé a lépe jsem to pochopil. Btw doufám že prachy na individuální bug bounty program šly z budgetu na prémie securitaku ze seznamu 😂 I když ta částka je směšná vzhledem k úsilí a kritičnosti. Super způsob takhle veřejně to reportovat, do budoucna určitě pomůže profesně. Good luck 👍

Skvělá práce, díky Vaší důmyslnosti je seznam o trochu bezpečnější, což je dobrá zpráva pro všechny uživatele. Jen ten dress-code mi (byť na white hat) hackera úplně nesedí ;-)

"8 milionů aktivních mailových schránek" Jsem rád, že mezi ně nepatřím. Na Seznam jsem zanevřel více jak před 10 lety.

..klobuk dole ..takto to cele dotiahnut ...nie len najs XSS ... respekt :)

o bezpečnosti seznamu se ví už velmi dlouho, osobně nechapu jak to někdo může využívat jako svůj main email. :D

Super práce

seznam opravil aj ten cookie managment aby sa session nedala vyzobnuť javascriptom alebo opravili iba tú xss injekciu v tom reklamnom banery? ak opravili iba vektor tej injekcie tak sa dá očakávať že tam majú ešte kostlivcov v kode alebo ich tam budú časom mať.

dokážeš aj sietový hacking alebo iba útoky web perimeter? Mne príde že webové zranitelnosti sú zaujimavé iba v takýchto mäsovo používaných aplikáciach ako je seznam, ale sieť mi príde "za malo prace hodne muziky" .. a miskonfiguracia a chyby v sieti má hodne firiem

hacknout se dá i google učet všechno a když se na tebe někdo zaměří neuděláš nic.

10:36 Chrom ma v sebe zabudovane "ochrany" (alebo firefox nie som si istí ) proti xss takže napr. klasickí payload nebude fungovať. preto to napr. v opere fungovať môže. * 11:34 XDD aha tak to bol problém zaujímavé.

Bros v seznamu použili innerHTML 🤣

Bavil jste se s nimi o možnost vyhlásit Bug bounty program, mají ho, chtějí?

17:05 Na iphonu se adblock pouziva :-)

Jaký byl prosím použit odkaz na FaceBooku v 47:03? Využil jste chyby na straně YouTubu?

Mám adblock i na telefonu ale seznam nepoužívám

A nebál jste se, že na Vás podají trestní oznámení, že jste si dovolil stlačit klávesu F12 a říct jim, že něco mají špatně?

Session hijacking není úplně jen problém na Seznamu, třeba LinusTechTips se s tím pral i na KZbin, když ukradli celé LTT portfólio. Vždy je to jiný útok, ale většinou moc velké zabezpečení session není. Přitom by teoreticky vzato jen stačilo do Session přidat IP adresu, se kterou se user loguje. Pokud nesedí při switchování stránek, prostě invalidate a logout.

To ověřování dle IP adresy je problematické, protože existuje něco jako dynamická IP adresa, která se může v průběhu připojení změnit (to také zapřičiňuje dočasné chyby jako "network change detected" v Chromu). Z toho důvodu není možné ověřovat session podle IP adresy, protože se IP adresa může najednou změnit, zcela náhodně a nečekaně.

kdy bude další video?

Chápu správně, že session cookie byla uložena jako http-only, takže ji nelze číst pouhým XSS a proto bylo potřeba těch session cookies v response body na některých endpointech?

Tak že pokud se nepřihlásim někde na cizím PC tak ten session nelze ziskat?

Sám jsem si to vyzkoušel na své schránce a bohužel je to funkční :(

Pokud už bude mít někdo podezření, snad by pomohlo, kdyby se nejdříve odhlásil, potom smazal cookies, zrestartoval, přihlásil se znova, změnil heslo a vypnul cookies třetích stran.

Jak se na to v Seznamu tvářili? 🙂

Hello Moto. 🤣Ano, Marek Toth a zástupce firmy Motorola, která mi .. ano .. posílá mobily zdarma. Takže .. Strach lže a ty mu věříš (viz můj profil, linky). A tadidádidá ... to jsem měl říct já? Ano, a vo tom to je.