Яндекс.Директ начал принимать украинские гривны

Ой, а можно подробностей?

Например, на kukutz@yandex-team.ru

to kukutz

Кукудз, а шо ты работаешь как слесарь-сантехник-шабашник, что у тебя в яндексе столько дыр, что везде течёт ???

А кому охота, чтобы его денежки уплыли на лево ???

Ты давай братуха старайся по работе, а не понтуйся своей кармой на тусовке :-)

Можно. Проверяем:

https://passport.yandex.ru/passport?mode=auth

*хрям-хрям*покоцано*цензурой*

Пишем это дело в логине. Пароль произвольный. Войти. Нас отрубили. Пробрасываемся на вторую страницу. Вводим имя пользователя. TAB (перескакиваем в пароль). Попап выскакивает с именем пользователя?

В 20-х числах мая - выскакивал, сейчас проверять лень.

Если вылезает - значит, можно открывать фишинговый сайт, и вместо алерта, например, вызывать передавать через GET соответствующие форм values КудаНадо. Дальше подогнать трафа с людей, у которых есть на ЯДе логины.

Дальше, на последнем шаге, понятно что делать?

Или надо proof of concept разжевать детальнее?

Спасибо большое, фиксим.

Толку-то фиксить.

Моё скромное, дилетанское мнение, таково: сколько кондом не штопай, всё одно красиво не получится.

Посмотрел я список вакансий Яндекса. Неописуемая на словах красота, мощные тестовые задания, все дела. И как-то всё это великолепие контрастирует с элементарными кариесными дырками.

Прожить-то можно, и проблемы основные - только от гундосых бездельников на пиар-помойках?

Если при разработке системы изначально не закладывалась идея душить XSS, то латание дыр будет всё более болезненным и всё более бесполезным.

Sergeax сколько угодно может промотировать службы Яндекса, но вот этот контраст между внешней помпезностью и внутренней неаккуратностью лично меня от сервисов Яндекса отталкивает. При всём моём к нему уважении.

В Яндексе хоть понимают, что из этого скромного списка http://company.yandex.ru/inside/job/index.xml сразу видны слабые места, куда можно целенаправленно бить?

"Разработчик системы авторизации (Perl)"