--> Archiwum Forum
vcarter [ Koszykarz ]
Allegro pełne dziur !
to ze allegro jest podziurawione jak szwajcarski ser to wiekszosc osob wiedziala, tylko co z tymi osobami ktore stracily duze pieniadze przez takich złodziei co te dziury w allegro wykorzystywali do wszelakich oszustw ?
dariusz919 [ Legionista ]
tak ale tylko raz
jamkgh [ YA RLY ]
Przeciez zeby ta dziura zadzialala to musisz wejsc na fakeowa strone.
Jezeli ktos jest na tyle durny zeby klikac na linki z maili i logowac sie na stronach:
www.ukradnecihaslolognijsietylkotutaj.com/allegro.php
to nie powinien siadac do komputera.
hohner111 [ TransAm ]
pokazdie mi program/forum/system/stronke co nie ma dziur...
Marcio [ Bleeee ]
"tylko co z tymi osobami ktore stracily duze pieniadze przez takich złodziei co te dziury w allegro wykorzystywali do wszelakich oszustw ?"
Zazwyczaj tego typu oszuści wykorzystują jednak ludzką głupote a nie błędy techniczne.
Najgorszy w tym jednak jest fakt, że pracownicy allegro zrobią coś dopiero w nocy...
EDIT: literówka
Jan Maria Rakieta [ Konsul ]
jamkgh, to nie jest żadna fake'owa strona, a Allegro.pl, na którym każdy kto ma pojęcie o XSS może wklepując +/- 20 znaków dostać się do każdego konta.
jamkgh [ YA RLY ]
To ze tak zapytam,
Dlaczego nikt do tej pory nie włamał sie na konto jakiegos usera aby zademonstrowac atak?
Jan Maria Rakieta [ Konsul ]
Patrz screeny pod linkiem.
jamkgh [ YA RLY ]
A co te screeny prezentuja?
Wlam?
Wybacz moja lameriade,ale nie wiem za bardzo o co chodzi.
Na screenach jest przedstawiony atak? jezeli tak,to w jaki sposob atakujacy wbil sie na konto ofiary?
Wlazl na allegro.pl, wybral sobie konto Zenka kowalskiego,otworzyl notatnik, wklepal 10-20 znakow i juz?
Jan Maria Rakieta [ Konsul ]
jamkgh, takich danych się nie ujawnia, bo każde dziecko obecnie robiłoby to samo, a człowiek, który to upublicznił poszedłby do więzienia. Na obrazkach widać wstrzyknięty do kodu strony skrypt, który z kolei uruchamia drugi skrypt - XSS (zrobiono to w ten sposób, aby nikt nie znał treści zapytania XSS i nie mógł powielić tego ataku).
Dodam tylko, że atak jest rzeczywiście banalny do przeprowadzenia, strony CIA, CNN czy Time'sa też miały luki XSS, niemniej jednak to było prawie 5 lat temu i to co widać na Allegro jest ewidentnym brakiem kompetencji.
Scatterhead [ łapaj dzień ]
jamkgh ->
atak polegał na tym, że wszedłbyś na stronę allegro poprzez podany przez kogoś link.
Strona byla zupelnie oryginalna, ale po wpisaniu hasla haker dostalby twoje dane ktore wpisales.
Jan Maria Rakieta [ Konsul ]
Scatterhead, co Ty gadasz za bzdury? Nie mówimy o spoofingu adresu.
jamkgh [ YA RLY ]
No ok,ale z tego co napisales wynika ze aby doszlo do przejecia danych,ofiara musi wejsc na spreparowana strone www.
>a obrazkach widać wstrzyknięty do kodu strony skrypt, który z kolei uruchamia drugi skrypt - XSS
Jan Maria Rakieta [ Konsul ]
jamkgh, nie, XSS działa tutaj jak SQL injection. Wystarczy spreparować odpowiedni link np. mamy stronę www.strona.pl.
Aby się zalogować na strona.pl musisz wpisać do formularza LOGIN i HASŁO i po wciśnięciu OK skrypt strony sprawdzi przez np. skrypt PHP czy w bazie istnieje taki user.
Jeśli strona nie jest odpowiednio zabezpieczona to wystarczy stworzyć link (zupełnie przypadkowy, to tylko przykład):
pakujemy kod to wstrzyknięcia np. wyświetalający rekrody bazy danych
Tu nie ma żadnej spreparowanej strony, po prostu tworzy się linki, z błędnymi rekordami, normalnie takie linki tworzy skrypt na stronie.
To jest wciąż ta sama strona, b. wiele sajtów jest podatnych na tego typu ataki, ba, nawet szyfrowanie jest tutaj bezradne, bo jak baza danych dostanie komunikat "login i hasło są w porządku, wpuść go" to hasło może być szyfrowane jakkolwiek i mieć 65 tysięcy bitów długości a i tak będziesz miał dostęp.
Scatterhead [ łapaj dzień ]
JMR -> co rozumiesz pod pojęciem spoofingu adresu?
jamkgh [ YA RLY ]
No ok,
Wchodze zalozmy na link z blednym rekordem (nie loguje sie, tylko wchodze/klikam) i co dalej?
Bo dalej nie kapuje.
Wchodze na zly link ktory wydaje mi sie dobry, hakier wstrzykuje skrypt do kodu html i?
Pobiera login i haslo z menadzera hasel, sesje z ciasteczek, miesza mi w javaskrypcie na dysku?
Jezeli mozesz to wytlumacz to lopatologicznie, jak dziecku.
Jak dla mnie hakier.pl chcial po prostu zeby zrobilo sie o nich glosno,stad te sensacje.
Pojawilo sie wyjasnienie tak btw.
Jan Maria Rakieta [ Konsul ]
Scatterhead, URL Spoofing / Phishing.
jamkgh, nie jest konieczny udział osób trzecich. Haker nie wysyła Tobie linka, sam go tworzy i sam na niego wchodzi (a profesjonalniej "uruchamia kod"), strona pobiera dane z tego sznurka (bądź skryptu zawartego w sznurku) i działa to na nią jak "Sezamie otwórz się" ;)
Wyjaśnienie jest gówno warte, do tej pory widać na Allegro linki do skryptów, które można uruchamiać i co gorsza oglądać od wewnątrz jak funkcjonuje strona.
I riposta na powyższy artykuł Onetu:
Scatterhead [ łapaj dzień ]
JMR ->
jeżeli do URL Spoofing dołączasz fakt podawania zmienionych adresow na oryginalnej witrynie, to dlaczego zarzucasz mi bzdury?
Poprzez injekcje skryptow do zrodla oryginalnej strony możesz każde wpisywane dane z okreslonych pol na stronie przeslac do siebie.
Hacking informuje poza tym o możliwość o których piszesz, ale to jest nieco okrojone. Jest możliwość przechwycenia sesji przez osobe trzecią, lecz w danym momencie osoba atakowana musi być zalogowana, na serwerze muszą się pojawić aktywne Tokeny sesji, a ty musisz przechwycić dane na ten temat używając spreparowanych adresów.
Można też przechwycić dane osobe, powołując się na serwis hacking.pl, uzywajac takze spreparowanych adresow.
Mój komentarz będzie taki, że jeszcze jeżeli chodzi o injekcje skryptów i wypisanie danych osobowych (chociaż w tym przypadku mniej) to można się czasami pogubić, ale jeżeli chodzi o ataki z przechwyceniem sesji, jest to dla mnie niedopuszczalne. Wystarczyłaby chociażby kontrola sesji zintegrowana z adresem IP użytkownika na daną sesję i byłoby to już w większym stopniu uniemożliwione.
Jan Maria Rakieta [ Konsul ]
Scatterhead, jaki URL Spoofing? Przecież jak byk napisali na hacking.pl i ja to ciągle powtarzam, że to żaden spoof a XSS (Cross Site Scripting) i CSRF (Cross-Site Request Forgery). Możliwości hakera nie są wcale okrojone, dobrze przeprowadzaony XSS umożliwia nawet uruchamianie procesów na hoście, a to już daje pełne pole do popisu. Spoofing URL-a / Phishing polega na czymś zupełnie innym, na stworzenie "podszywającej się" pod oryginalną strony i jest najczęściej możliwy dzięki dziurom w przeglądarkach oraz głupocie ludzi (vide maile z prośbami o zalogowanie do banku ;)).
Scatterhead [ łapaj dzień ]
JMR -> czy ja gdzieś wspomniałem o podszywaniu się pod allegro?
Cainoor [ Mów mi wuju ]
Scatterhead napisałeś:
"jamkgh ->
atak polegał na tym, że wszedłbyś na stronę allegro poprzez podany przez kogoś link. "
Tak to wytłumaczyłeś, że nikt Cie nie zrozumiał.
Scatterhead [ łapaj dzień ]
Cainnor ->
Spróbuje się poprawić:
Wchodzisz na stronę Allegro poprzez podany przez hackera link i logujesz się.
W tym momencie serwis allegro jest złamany, a hacker ma twoje dane do logowania.
Cainoor [ Mów mi wuju ]
Czyli jednak się mylisz.
To jest tak. Haker wpisuje w przeglądarce odpowiednio spreparowany link. Jeśli użytkownik jest zalogowany na serwisie Allegro, haker może uzyskac dostęp do jego danych. Użytkownik nie musi nic robić. Wystarczy, że będzie przeglądał sobie strony oryginalnego Allegro bedąc zalogowanym.
Scatterhead [ łapaj dzień ]
Cainnoor -> oczywiście o tym tym też była mowa, napisałem to wyżej. Pisząc o spreparowanym adresie, nie napisałem przecież że to jest jedyna forma ujawniona przez ahcking.pl, jedyna możliwa oraz że to jest spreparowana strona - nie należąca do allegro.
ludzie odczepcie sie ode mnie.