Aktywne Wpisy
zloty_wkret +408
Laska opowiada, że do 30 r.ż. mieszkała u starych, którzy ją utrzymywali, a wszystkie zaoszczędzone pieniądze oszczędzała. Dzięki tej ciężkiej pracy teraz mieszka na Złotej 44, czyli w budynku z najdroższymi apartamentami w Polsce xD
Bro, jak mama ci da 2 złote na drożdżówkę, to jej nie kupuj, tylko wrzuć te 2 zł do skarpety, a z zaoszczędzonych pieniędzy kupisz sobie apartament xDD
Ostrzegam, większego pierd*$enia dzisiaj nie usłyszycie.
#nieruchomosci #zlota44 #
Bro, jak mama ci da 2 złote na drożdżówkę, to jej nie kupuj, tylko wrzuć te 2 zł do skarpety, a z zaoszczędzonych pieniędzy kupisz sobie apartament xDD
Ostrzegam, większego pierd*$enia dzisiaj nie usłyszycie.
#nieruchomosci #zlota44 #
KingOfTheWiadro +421
Aktywne Znaleziska
1. Pozyskanie loginow i hasel czesci kont
A. Przez kradziez (byly pracownik, backupy, etc.) - bylaby duża skala
B. Przez włamanie (SQLi i łamanie haszy) - wtedy "botami" tylko Mirki o słabych hasłach, przynajmniej na początku
C. Przez korelacje haseł pochodzących z wycieku/kradzieży z innego serwisu, np. PSN, AshleyMadison ( ͡° ͜ʖ ͡°), etc - wtedy ofiarami Mirki ktore mialy hasło takie samo jak w innym serwisie (nieunikatowe)
D. Przez phishing - wtedy Mirki musiały by się dać nabrać na lewą stronę logowania / apkę mobilną, ale przecież Mirki ain't no idiots! ;)
2. Wykonanie ataku MITM:
A. Przez sniffing tokenów sesyjnych - wtedy Mirkami ofiarami/botami powinni byłyby osoby korzystające z tego samego ISP, sieci, np. z lubelskiego akademika
B. Przez rewrite żądania http - wtedy Mirki które były ofiarami chciały kopnąć X a kopnęły Y (coś musiały robić w okresie "ataku", bezczynny Mirek nie zostałby ubotowiony)
3. Atak CSRF i/lub XSS
A. Przez źle zaimplementowane tokeny antycsrf - Mirki musiały odwiedzić w okresie ataku inną stronę, która zawierała złośliwy kod ataku (np. demotywatory albo pornhub)
B. Przez XSS na Wykopie - gdzieś na Mirko albo wykopalisku/głównej jest możliwość wstrzyknięcia JS które sterowało atakiem i uruchamiało się u Mirków które na ten wykopowy obszar wlazły (kiedyś xss był w tagach do znalezisk.
4. Inny błąd w API/serwisie
A. Przez podatność pozwalająca na eskalację poziomą (X ma dostęp do akcji które wykonać powinien móc tylko Y, np. Indirect Object Reference)
B. Przez podmianę w żądaniu API id Mirka odpowiedzialnego za wykonanie danej akcji
5. Spisek! Nawet bordo to boty - ktos je wszystkie przez lata hodował przez lata czekając na tegoroczną edycję Lubelskich Dni Informatyki :)
6(66). Szatan
PS. Jeśli funkcja pokazująca aktualnie zalogowane sesje posiada błędy (a może pewnych sytuacji nie uwzględniać, np. odkładać IP tylko w trakcie logowania hasłem przez www) to nie da się jej wykorzystać do obalenia/potwierdzenia którejś z powyższych hipotez (bo np. w 2A z dostępem przez inny IP tego faktu nie pokaże)
#hacking #hackingnews #bezpieczenstwo #security #niebezpiecznik
Zmieniłem hasło. Poprzednie było banalne do bólu, atak słownikowy by to załatwił.
Komentarz usunięty przez autora
--; string(___)*3
Komentarz usunięty przez autora
Komentarz usunięty przez autora
Komentarz usunięty przez autora
@niebezpiecznik-pl: no to sobie każdy wiedzący co to https to pytanie zadaje. Kupili EV po czym stwierdzili, że jednak nie włączają TLSa site-wide, bo reklamy nie działają przy nim, więc jest tylko przy logowaniu i dla administracji tylko.
@niebezpiecznik-pl: praca, straciłem przez nią całą sobotę bo wstałem o 20 (╯︵╰,)
Ale jako że i tak lata to po mirko, to wkleję tutaj:
https://pastebin.com/raw/6u967M4A
Na moje oko, jeżeli lista autentyczna, to sporo mówi o tym, jak atakujący te hasła zdobył...
Komentarz usunięty przez autora
Komentarz usunięty przez autora