Привет, нация!
Крайне рекомендую срочно изменить ключи всем, кто использовал goldvoice.club
Сегодня, в рамках тестирования безопасности сайта golos.io наш сотрудник @format-x22 обнаружил некритическую уязвимость, приводящую к появлению белого экрана при открытии поста, в теле которого содержится код
<IMG onmouseover="alert('xxs')">
Данная уязвимость была устранена в рамках задачи 1644, код исправления можно посмотреть здесь
Однако гораздо большую угрозу для пользователей голоса представляет критическая уязвимость на сайте goldvoice.club, с помощью которой можно выполнить javascript код на стороне клиента (в браузере пользователя), и тем самым получить доступ к приватным данным, например таким как приватные ключи пользователей.
Подобная уязвимость позволяет злоумышленнику получить доступ к средствам скомпрометированного аккаунта, и вывести средства.
Эксплуатация следующая.
В заголовок поста можно вставить следующую конструкцию.
<img src=x onerror="SOME JS CODE">
Весь код находящийся в теле onerror выполняется без каких либо проверок. Как долго данная уязвимость присутствовала на сайте goldvoice.club неизвестно.
На данный момент сайт https://goldvoice.club/ отключен владельцем, для поиска других уязвимостей.
@litrbooh ты дизлайкаешь пост про критическую уязвимость платформы? ты в себе?
@azarod суть не в посте а в отношении, и да это просто ранжирование контента, как говорит Ломащук
@denis-golub , как раз дело в отношении. товарищи с golos.io могли бы зайти к толе в личку, но этого не сделали, пока он не обнаружил проникновение.
@litrbooh проникновение у тебя токсинов в мозгу. Выдумываешь на лету.
@azarod я так понимаю переход на оскорбления за неимением аргументов?
@t3ran13 , да я уж не стал писать, что новый продакт менеджер @azarod оказывается редкостное хамло, но это и так очевидно
@litrbooh у нас все люди воспитанные, подбираем по росту, весу и надичию бороды, поскольку вся сила интеллекта в наших делегатах - они подскажут или напишут в "правду"!)
@azarod , что ничего не было?
https://golos.cf/history?login=format-x22&stop=&keywords=&match=false&all=false&type=ALL&node=wss://ws.golos.io
@litrbooh каемся, мы переодически проводим тесты безопасности нашего сервиса.
@nickshtefan , вы молодцы, а на Голдвойсе @format-x22 чего делал?
@litrbooh Сегодня после нашего ежедневного созвона команды я занялся тестированием безопасности нашей системы. Сегодняшней задачей был поиск хранимых XSS уязвимостей в новом клиенте. Занимаясь этим была обнаружена одна не критичная уязвимость, которую я передал на исправление. После я решил посетить альтернативные клиенты т.к. подобные уязвимости у них могут негативно сказаться на всем проекте GOLOS, а не только golos.io. И сразу же обнаружил нестандартное поведение на goldvoice.club. Далее я дополнительно протестировал на уязвимости уже goldvoice, создав несколько дополнительных аккаунтов через goldvoice, а именно testxxx, testxx и testx. Уже завершая цикл проверки я узнал что владелец goldvoice уже обнаружил проблему, очевидно увидев в консоле сообщение "10", которое я выводил, находя баг. Далее владелец goldvoice сообщил что закрывает сайт на поиск уязвимостей. Ну а после был опубликован этот пост с демонстрацией т.к., судя по всему, владелец goldvoice исправит все проблемы и пользователи блокчейна GOLOS будут в безопасности.
Все действия, которые я выполнял, публично доступны в блокчейне.
@litrbooh так я так и написал что тут не поста а отношение
@azarod , а ваш стратег дизлакает мои посты потому, что я пользуюсь другим приложением, а вы почему-то не в состоянии в течении дня скрыть с выдаче посты от ГВ, которые не можете отображать. Вы в себе?
Нормально, молодцы что нашли дырку как у себя так и на GV. Безопаснее всего на фронтендах пользоваться только постинг-ключами, остальные операции выполнять stand-alone wallet-ами и скриптами.
@vvk полностью с тобой согласен
@nickshtefan , @azarod я вас целый день жду тут:
https://golos.id/ru--golos/@litrbooh/ru-proshu-prekratitx-vydachu-moikh-postov-s-kategorieij-goldvoice
Раз у вас нашлось время для разговоров, зайдите туда и ответьте мне на мой официальный заброс к вам, чем форму ОБРАТНОЙ_СВЯЗИ, так как никаких других каналов у вас не указано.
На голосе словил Content Security Policy для ссылки https://relap.io/api/v6/head.js?token=VfuCMxKW3yLfpKGk, которая хз откуда и как сработала на golos.io в блоге @format-x22
поскольку это вечер пятницы, не рекомендую пользоваться на выхи клиентом golos.io, максимум пользуйтесь постинг ключами!!!
А ввиду того, что страницу команды у нас правилась пол года, я хз когда golos.io исправят ошибку)))
@t3ran13 расслабься, relap.io это не неизвестно куда, это сервис который мы тестируем.
тестирование видимо только в блоге @format-x22 и пока я не показал линку?
мне пофиг что вы тестируете, но если этой линки нет в доме в момент выдачи страницы, браузер будет ругаться на XSS!!! т.е. сработал незапланированный скрипт запустивший запрос на страницу. следовательно у вас у самих дырки!!!
На всех сайтах есть ссылки на другие, но ругается консоль только на голосе. Так что хватит ссать в уши про XSS=)
@t3ran13 Если вы не разбираетесь в XSS-уязвимостях - пожалуйста, не дезинформируйте пользователей. Но если вы найдете настоящую уязвимость - сообщите о ней, это поможет проекту GOLOS в целом.
@format-x22 знаете что забавно? БЧ более 2-х лет, а уязвимости вы тестите только сейчас.
@denis-golub тестировать безопасность никогда не поздно
повезло нам с таким сео, ой повезло.... долго же ты козырь в рукаве держал)
ты о чем?
@denis-golub XSS к БЧ не имеет отношения, а уязвимости мы тестируем регулярно
@nickshtefan я же не против, но желательно делать так что никаких вопросов ни у кого не было если они есть то это значит что все-таки что-то не так делается, насколько бы не были уверены в обратном, это мое виденье
@t3ran13 в уши ссать сейчас пытаешься ты, подменяя понятия и раскрывая всю глубину своей некомпетентности
мдя... напиши разрабам мозилы, чб они багу исправили, поскольку команда голос ио считает что этот запрос был нормальным, а браузер вбрыкнул на ровном месте)
а потом расскажи мне о уровне моей компетентности на бис)
@t3ran13 продолжай, весели меня
@t3ran13 полный бред. Relap это сервис предоставляющий рекомендательную модель контента. Не выдумывай.
ты мне рассказывай. ты же у нас кодер, а я так... видимо маркетолог?
@t3ran13 отличный coming out! маркетолог! почему раньше стеснялся?!) мы уже давно привыкли!
@insider так мне не платят как тебе, а если бы платили - то и я бы как и ты, тут не появлялся бы вовсе)
@t3ran13 кстати я тебя уже неоднократно приглашал на собеседование
@nickshtefan нафиг! ты глянь на зп в штате у вас! я за еду не готов работать! Я вообще не понимаю как вы за такие зп работаете. Это либо нужно ничего не уметь, либо ничего не делать на работе.
Для смены ключа: настройки - ключи - новый ключ
@nickshtefan, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп@nickshtefan, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп@nickshtefan, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стопНиколай,я новичок,скажи пожалуйста как ты увидел мой пост( ты только что проголосовал) и где можно увидеть посты которые опубликовали несколько дней назад только по тегам? или просто листая ленту до самого низа?
@arhiopteriks тут поищи https://explorer.golos.io
@nickshtefan, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стопВаш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
cryptomen, mir, midnight, nefer, oksana0407, mp42b, ezavarov, irkinmick, bomberuss
Поэтому я тоже проголосовал за него!
Узнать подробности о сообществе можно тут:
Разрешите представиться - Кит Добрый
Правила
Инструкция по внесению Инвестиционного взноса
Вы тоже можете стать Инвестором и поддержать проект!!!
Если Вы хотите отказаться от поддержки Доброго Кита, то ответьте на этот комментарий командой "!нехочу"
dobryj.kit теперь стал Делегатом! Ваш голос важен для всего сообщества!!!
Поддержите нас:
@nickshtefan, Поздравляю!
Ваш пост был упомянут в моем хит-параде в следующей категории:
@nickshtefan, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стопкоммент
Доигрался кое-кто в создание клиентов... А если я только постинг-ключ использовал, всё равно менять?
так на голосе тоже такая хрень случается,нажимаешь ответ,и все белый экран..
@unik09 у нас белый экран, а на goldvoice возможность украсть ключи. Это несопоставимые вещи
Забавно, что вместо того, чтобы уведомить владельца golos.io полез пробовать. И если бы @on1x не заметил вмешательства не известно, как бы эта дырка была использована доблестными конкурентами...
@litrbooh Наоборот нужно ребятам сказать спасибо если это правда.
Иначе приватники были бы скомпрометированы.
@creat0r , да, хорошо что нашли уязвимость. Но почему сначала проникновение, а потом выход на владельца, только после того как он обнаружил проникновение?
@litrbooh Проникновения не было
@nickshtefan расслабся, это не статья по изнасилованию!
@t3ran13 , ды нет, это как раз очень похожая статья. Более того доказательство @nickshtefan сам запихал в блокчейн :)
@nickshtefan глючат обе ваши морды, не потроллить даже
🤘
Персоналии .
@litrbooh полная и безосновательная клевета
@azarod ,
@litrbooh не путайте теплое с мягким. Мы нашли уязвимость, попытки взлома не было.
а кто знает, как вы соспользовались и давно ли нашли?
@t3ran13 звони в кремль! разьяснения там, мы без команды и согласований с РКН, ФСБ, МВД и ГРУ ни шагу. всё, как ты говорил!
ха-ха! отличный юмор, за 3 000 $ в месяц!
Жаль что кроме шуток от тебя никакой больше пользы на голосе, отличный СЕО у голосИО.
@litrbooh, это - война двух клиентов за господство над блокчейном. Что-то мне подсказывает, что тут обе стороны могут не вполне чистые методы применять... Хотя ни @azarod, ни @on1x не похожи на гадлецов.
@litrbooh точно такая же безосновательная клевета