O tym jak drobny błąd wykop.pl mógł zostać w niecnych celach wykorzystany

Serwisy do których treści dodają użytkownicy, mają nieco trudniej jeżeli chodzi o kwestie chronienia się przed różnymi atakami hackerskimi. Tym razem chciałbym Wam przedstawić podatność, na którą jeszcze kilka dni temu cierpiał wykop.pl, demonstrując przy okazji jak taki atak mógłby wyglądać.

noisy z dodany: 06.09.2018, 18:25:37

196
Odpowiedz

Komentarze (196)

najlepsze

vvit0

06.09.2018, 23:29:35

akcja defakto od 1:31 (⌐ ͡■ ͜ʖ ͡■)

johnkashtan

06.09.2018, 21:25:58

@noisy I mimo wszystko nie dostałeś osiągnięcia "łapacz błędów", a powinieneś ( ͡° ͜ʖ ͡°)
https://www.wykop.pl/osiagniecia/list/23/1/%C5%81apacz+B%C5%82%C4%99d%C3%B3w/

nuka-cola

06.09.2018, 19:46:59 via iOS

O w morde 7 minut....tl;dr ?

e.....y

konto usunięte 09.09.2018, 16:14:22

-1

@nuka-cola: Nie masz w ciagu dnia wolnych 7 minut?

kwasny

12.09.2018, 19:47:43

@endomorficzny: nie będziesz mi życia układał

kooolega

06.09.2018, 19:17:30

@noisy
Czy polecasz jakieś książki, strony lub inne lektury na ten temat? Jako programista frontendowy chętnie bym poczytał coś o bezpieczeństwie aplikacji webowych. O podatności, o której piszesz też dopiero niedawno się dowiedziałem. Teraz będę czytał:

kooolega - @noisy
Czy polecasz jakieś książki, strony lub inne lektury na ten temat?... — **źródło:** comment_FBkO4O27bui3wgXa5XPNvyPBSvdRlb9F.jpg
Pobierz

herejon

06.09.2018, 21:40:55

@976497: +1 Wołaj jak Ci @ITgeek odpisze, bo również jestem zainteresowany :)

niebezpiecznik-pl

07.09.2018, 03:51:19 via iOS

@kooolega: web application hacker handbook. I zadnej innej na start :)

Stemitor

06.09.2018, 18:42:58

@niebezpiecznik-pl @ZaufanaTrzeciaStrona @sekurak Halo Halo!

D.....a

konto usunięte 06.09.2018, 19:19:09

Nawet nie wiedziałem, że tak można, ale chyba najbardziej w tym wina przeglądarek, że bez ekstra zezwoleń pozwalają na takie przypisanie. To powinno być jak z ciasteczkami - nie pozwalają nigdy, pozwalaj tylko z tej samej domeny i pozwalaj zawsze.

l.....2

konto usunięte 06.09.2018, 18:45:42

ostatnie co chciałem zobaczyć to wideło z gościem w kokosłuchawkach
Poczekam aż z3s.pl zrobi opracowanie tekstowe.
znaczy szanuję @noisy za wkład, etyczne zachowanie, ale nie jestem w stanie (d)ocenić merytoryki bo nie umiem oglądać wideotutków.

Stemitor

06.09.2018, 18:40:14

Prawdopodobnie nigdy w życiu bym czegoś takiego nie zauważył. A nawet jak to -
Przeładowanie strony? Pff Wydawało mi się. Z tego samego powodu też nie sprawdzał bym adresu no bo po co?

C.....s

konto usunięte 06.09.2018, 21:27:54 via Android

Dobra, ale de facto to ciulowy ten atak. Równie dobrze mogę dodać znalezisko z linkiem do spreparowanej strony ssl-wykop.pl.... i czym to się niby różni? To w ogóle nie jest atak, a marny phishing.