Aktywne Wpisy
zloty_wkret +408
Laska opowiada, że do 30 r.ż. mieszkała u starych, którzy ją utrzymywali, a wszystkie zaoszczędzone pieniądze oszczędzała. Dzięki tej ciężkiej pracy teraz mieszka na Złotej 44, czyli w budynku z najdroższymi apartamentami w Polsce xD
Bro, jak mama ci da 2 złote na drożdżówkę, to jej nie kupuj, tylko wrzuć te 2 zł do skarpety, a z zaoszczędzonych pieniędzy kupisz sobie apartament xDD
Ostrzegam, większego pierd*$enia dzisiaj nie usłyszycie.
#nieruchomosci #zlota44 #
Bro, jak mama ci da 2 złote na drożdżówkę, to jej nie kupuj, tylko wrzuć te 2 zł do skarpety, a z zaoszczędzonych pieniędzy kupisz sobie apartament xDD
Ostrzegam, większego pierd*$enia dzisiaj nie usłyszycie.
#nieruchomosci #zlota44 #
KingOfTheWiadro +421
1. Pozyskanie loginow i hasel czesci kont
A. Przez kradziez (byly pracownik, backupy, etc.) - bylaby duża skala
B. Przez włamanie (SQLi i łamanie haszy) - wtedy "botami" tylko Mirki o słabych hasłach, przynajmniej na początku
C. Przez korelacje haseł pochodzących z wycieku/kradzieży z innego serwisu, np. PSN, AshleyMadison ( ͡° ͜ʖ ͡°), etc - wtedy ofiarami Mirki ktore mialy hasło takie samo jak w innym serwisie (nieunikatowe)
D. Przez phishing - wtedy Mirki musiały by się dać nabrać na lewą stronę logowania / apkę mobilną, ale przecież Mirki ain't no idiots! ;)
2. Wykonanie ataku MITM:
A. Przez sniffing tokenów sesyjnych - wtedy Mirkami ofiarami/botami powinni byłyby osoby korzystające z tego samego ISP, sieci, np. z lubelskiego akademika
B. Przez rewrite żądania http - wtedy Mirki które były ofiarami chciały kopnąć X a kopnęły Y (coś musiały robić w okresie "ataku", bezczynny Mirek nie zostałby ubotowiony)
3. Atak CSRF i/lub XSS
A. Przez źle zaimplementowane tokeny antycsrf - Mirki musiały odwiedzić w okresie ataku inną stronę, która zawierała złośliwy kod ataku (np. demotywatory albo pornhub)
B. Przez XSS na Wykopie - gdzieś na Mirko albo wykopalisku/głównej jest możliwość wstrzyknięcia JS które sterowało atakiem i uruchamiało się u Mirków które na ten wykopowy obszar wlazły (kiedyś xss był w tagach do znalezisk.
4. Inny błąd w API/serwisie
A. Przez podatność pozwalająca na eskalację poziomą (X ma dostęp do akcji które wykonać powinien móc tylko Y, np. Indirect Object Reference)
B. Przez podmianę w żądaniu API id Mirka odpowiedzialnego za wykonanie danej akcji
5. Spisek! Nawet bordo to boty - ktos je wszystkie przez lata hodował przez lata czekając na tegoroczną edycję Lubelskich Dni Informatyki :)
6(66). Szatan
PS. Jeśli funkcja pokazująca aktualnie zalogowane sesje posiada błędy (a może pewnych sytuacji nie uwzględniać, np. odkładać IP tylko w trakcie logowania hasłem przez www) to nie da się jej wykorzystać do obalenia/potwierdzenia którejś z powyższych hipotez (bo np. w 2A z dostępem przez inny IP tego faktu nie pokaże)
#hacking #hackingnews #bezpieczenstwo #security #niebezpiecznik
Co do wycieku bazy przecież jeden był, dawno dawno temu, pamiętam, bo się #!$%@?łem i usunąłem konto.
Komentarz usunięty przez autora
4,76. Korwin
Komentarz usunięty przez autora
@niebezpiecznik-pl:
zobaczymy ( ͡° ͜ʖ ͡°)
--; string(___)*3
Komentarz usunięty przez autora
@niebezpiecznik-pl: No ładnie ( ͡° ͜ʖ ͡°)
Komentarz usunięty przez moderatora
Komentarz usunięty przez autora
Komentarz usunięty przez autora
Komentarz usunięty przez autora
Komentarz usunięty przez autora
Komentarz usunięty przez autora
Komentarz usunięty przez autora
Komentarz usunięty przez autora
Komentarz usunięty przez autora