Widzę, że luka wykryta przez Robotnika też została już załatana. Zauważcie, że do każdego linku dodawany jest unikatowy kod przypisany do indywidualnej sesji usera.
Teraz samowykopujący się wykop juz nie przejdzie. :)
@robotnik: bez przesady, wszedzie? A wina jest tego kto pisał ten moduł. Poza tym jakby by był jakis scentralizowany obiekt "Requesta" przez który szły by dane to by wycinali to co nie potrzebnne wszedzie gdzie to potrzebne. Widać, że tak nei jest...
Niektóre CSRF-y nadal działają... Co powiecie na możliwość stworzenia linka, który usunie ofierze wszystkie fotki, gdy tylko w niego kliknie będąc zalogowana na tym jakże wspaniałym portalu i nawet nie zauważy, że coś się stało (póki nie wejdzie do galerii)? Dziecinnie proste i jaki ubaw
Akurat dorośli ludzie zarabiają na tym na prawdę duże pieniądze ;)
Spam, kradzieże haseł bankowych, kradzieże numerów kart płatniczych, a nawet kont w grach MMORPG to dochodowy sposób zarobku. W dodatku w tej "branży" powstaje biznesowy model współpracy. Ci którzy są na górze i mają pieniądze zatrudniają innych do tworzenia aplikacji, albo do ich rozsyłania. I tak powstały firmy, które łamią CAPTCHa, płacą za unikalną maszynę, na której zainstaluje się rootkita itd.
Zastanawia mnie, po co komu hackować taki serwis jak wykop, bo sensu to najmniejszego nie ma raczej ... Błędy zawsze się tam jakieś zdarzają, ale przecież Wykop to taki manualny agregator linków z systemem oceniania, który służy ludziom i na dodatek jest darmowy - ja rozumiem, że luki trzeba naprawiać, ale ktoś musiałby być niesamowitym frustratem, żeby włamywać się i mieszać w serwisie.
Fakt, ale wydaje mi się, że dorośli ludzie nie zajmują się raczej takimi pierdołami. Ja jestem chyba po prostu nie na czasie i wydaje mi się, że to całe hackowanie, exploity, DDoSy i inne pierdoły to zabawa taka sama jak siedzenie w piaskownicy i sypanie komuś piaskiem w oczy dla frajdy ... Minęły już czasy, kiedy hackerzy wykradali dane dla idei, aby każdy miał dostęp do informacji. Teraz hackują głównie z głupoty
Powodów multum. Wykop ma bardzo dużą oglądalność, więc można pokusić się o wrzucenie gdzieniegdzie exploita albo o zDDoSowanie "wykopowiczami" jakiegoś serwisu.
Jednej rzeczy nie rozumiem: dlaczego poprostu nie napisales do adminow? Chcesz byc slawny? Co chciales osiagnac umieszczajac ta informacje jako ogolnodostepna? Teraz pewnie polowa script-kiddies siedzi na wykopie i wikipedi czytajac co to xss i jak by tu cos zepsuc.
Zresztą żadna to luka jeżeli w sesji trzymane jest IP użytkownika. Jeśli IP się zmieniło, a numer sesji jest ten sam, to wylogowujemy usera.
Są też mechanizmy (np. jedna funkcja w PHP) zmiany ID sesji za każdym przeładowaniem strony. I wtedy możesz sobie takim SID podetrzeć 4 litery, bo zanim go użyjesz to już się zmieni 3 razy. ;)
Komentarze (41)
najlepsze
Widzę, że luka wykryta przez Robotnika też została już załatana. Zauważcie, że do każdego linku dodawany jest unikatowy kod przypisany do indywidualnej sesji usera.
Teraz samowykopujący się wykop juz nie przejdzie. :)
Edit: ups, przepraszam - http://www.wykop.pl/link/94999/wazne-stop-cenzurze#comment-502532
@robotnik: bez przesady, wszedzie? A wina jest tego kto pisał ten moduł. Poza tym jakby by był jakis scentralizowany obiekt "Requesta" przez który szły by dane to by wycinali to co nie potrzebnne wszedzie gdzie to potrzebne. Widać, że tak nei jest...
I naprawdę można się nieźle tym pobawić...
W ramach przykładu (luki załatane):
http://scissor.hehehe.pl/
http://dioda191.hehehe.pl/
http://www.ninfo.pl/security/2008/08/15/epulspl-koniec-zabawy/
http://jasisz.jogger.pl/2007/03/04/gnebienia-epulsa-ciag-dalszy/
http://jasisz.jogger.pl/2007/03/08/epuls-pl-i-csrf-raz-jeszcze/
Niektóre CSRF-y nadal działają... Co powiecie na możliwość stworzenia linka, który usunie ofierze wszystkie fotki, gdy tylko w niego kliknie będąc zalogowana na tym jakże wspaniałym portalu i nawet nie zauważy, że coś się stało (póki nie wejdzie do galerii)? Dziecinnie proste i jaki ubaw
Spam, kradzieże haseł bankowych, kradzieże numerów kart płatniczych, a nawet kont w grach MMORPG to dochodowy sposób zarobku. W dodatku w tej "branży" powstaje biznesowy model współpracy. Ci którzy są na górze i mają pieniądze zatrudniają innych do tworzenia aplikacji, albo do ich rozsyłania. I tak powstały firmy, które łamią CAPTCHa, płacą za unikalną maszynę, na której zainstaluje się rootkita itd.
[ ] Twoja stara
Wybór należy do ciebie
No nic czekamy na porawę
http://img411.imageshack.us/img411/2320/noscriptmw6.png
[edit]
Zresztą żadna to luka jeżeli w sesji trzymane jest IP użytkownika. Jeśli IP się zmieniło, a numer sesji jest ten sam, to wylogowujemy usera.
Są też mechanizmy (np. jedna funkcja w PHP) zmiany ID sesji za każdym przeładowaniem strony. I wtedy możesz sobie takim SID podetrzeć 4 litery, bo zanim go użyjesz to już się zmieni 3 razy. ;)