Přejít na obsah


Fotka

Hacker serie 3


  • Pokud chcete vložit odpověď, přihlašte se
22 odpovědí na toto téma

#1 seedcorp

seedcorp

    Advanced Member

  • Members
  • PipPipPip
  • 660 příspěvků(y)

Publikováno 10 prosinec 2007 - 0:22

příspěvek obsahoval spoiler. Na žádost uživatelů odstraněno.


  • 0

#2 TrainTour Reviewer

TrainTour Reviewer

    Advanced Member

  • Members
  • PipPipPip
  • 365 příspěvků(y)

Publikováno 10 prosinec 2007 - 2:56

Seedcorpe, ty tady tu keš normálně spoileruješ-právě jsi zde odkryl první vrstvu jejího luštění, tj.co udělat. Prosím zedituj/smaž ten log, ať nekazíš luštitelskou zábavu ostatním... Myslím, že není vhodné se zde ptát, jak tuto cache luštit, že. P.S. Na prohlížeči pro luštění této mystery nezáleží, klidně to jde v IE, Firefoxu,... takže se na Widle, IE a jiné věci vymlouvat nemusíš.
  • 0

#3 Dain & Olik

Dain & Olik

    Advanced Member

  • Members
  • PipPipPip
  • 3 704 příspěvků(y)

Publikováno 10 prosinec 2007 - 7:58

mno seedcorpe, jestli ti to nejde lustit, tak to nelusti a vyraz na nejakou oblibenou tradicni 1/1. nebo naopak v tichosti rozpohybuj sede bunky. byt autor, tak te za tohle rozcilovaci spoilerovani jdu pretrhnout.
  • 0

#4 Sylvia999

Sylvia999

    Advanced Member

  • Members
  • PipPipPip
  • 538 příspěvků(y)

Publikováno 10 prosinec 2007 - 10:48

2 seedcorp: Grrrr. ....kazíš mi zábavu:@
  • 0
Sylvia999

#5 Mafi5bj

Mafi5bj

    Advanced Member

  • Members
  • PipPipPip
  • 238 příspěvků(y)

Publikováno 10 prosinec 2007 - 16:10

2 Moderátor: Prosím za všechny, kteří toto vlákno ještě nečetli. Smažte ho. 2 Seedcorp: Už teď seš mrtvej! B)
  • 0

#6 Czecho Cowboy

Czecho Cowboy

    Advanced Member

  • Members
  • PipPipPip
  • 1 372 příspěvků(y)

Publikováno 10 prosinec 2007 - 16:26

Grrr... Kdybych to ráno nepřelousknul, tak bych tě našel a vykuchal... :|
  • 0
Proud user of GeoGet 2

#7 eMenthal

eMenthal

    Advanced Member

  • Members
  • PipPipPip
  • 78 příspěvků(y)

Publikováno 10 prosinec 2007 - 16:45

No bohužel jsem už nestihnul přečíst nářek seedcorpa, stížnosti na kešky si myslim můžou být oprávněně zveřejněny...ne? Ovšem spoilery bych tu také nerad viděl, nechť si to každý zkusí vyluštit sám, či za pomoci nápověd od geokolegů či autora, ale ne přímo přečíst řešení. Děkuji.
  • 0

#8 edheldil

edheldil

    Advanced Member

  • Members
  • PipPipPip
  • 144 příspěvků(y)

Publikováno 12 prosinec 2007 - 11:58

Mozna by stalo za to odstranit aspon to otravne okno s presmerovanim pri prohlizeni listingu. S tematem to IMO souvisi minimalne, protoze to neni zadne XSS. XSS+phishing by bylo, pokud by NAPRIKLAD dandra mel soucasti sve hlasky u uctu v Geobance nejaky javascriptik, ktery bys tupe zkopiroval do listingu do zebricku hackeru a po presmerovani jsme se dostali na stranku, ktera by tvrdila, ze nejsme prihlaseni na gc.com, vlozte prosim svuj login a heslo B) . Pochybuju ale, ze k vlozeni kodu do stranky doslo timhle zpusobem. Takhle me to jenom vzdycky znovu nas.... nastve, kdyz se chci podivat na nove logy. [Kesku uz mam odlovenou, takze opravdu nejde o mou snahu se dostat pres tuto neprolomitelnou barieru :) ] [Pozdejsi edit:] Ted me napadlo, ze pokud se to vezme ne jako utok proti konkretni strance s listingem, ale proti gc.com jako cele site, tak to vlastne XSS je :)
  • 0

#9 petegeo

petegeo

    Advanced Member

  • Members
  • PipPipPip
  • 1 005 příspěvků(y)

Publikováno 12 prosinec 2007 - 15:07

Zacatek diskuze jsem taky nepochytil. Jak se zbavit presmerovani jsem se skripenim zubu pochopil. Clanek precetl, nicmene hackovanim webu jsem se nikdy nezabyval a jak na to koukam uz od 1.cky, tak asi zabyvat nebudu :-( . Muze me nekdo aspon prozradit, jestli to presmerovani je tim ze pri tvorbe listingu je vlastne pristup k HTML casti listingu, nebo se to da "udelat" na jakychkoliv cizich strankach? Pokud by to tedy zase nebyl "spoiler" ? Diky.
  • 0

#10 edheldil

edheldil

    Advanced Member

  • Members
  • PipPipPip
  • 144 příspěvků(y)

Publikováno 12 prosinec 2007 - 15:41

Pokud se ti to podari udelat na cizich strankach, je to prave ten XSS utok :). V zasade si to muzes predstavit takhle: mas 3 strany: utocnika, obet a stranky s chybou umoznujici XSS. Tvym cilem (jako utocnika) je zpusobit, ze kdyz se obet podiva na dotycne stranky, aspon cast jejich obsahu je kontrolovana utocnikem. To se pak da pouzit k ruznym utokum, kradeni hesel apod. Jak to muzes udelat? V pripade gc.com celkem jednoduse - jako owner cache to proste zadas do listingu a obeti (kaceri) se na ty stranky podivaji sami, jakmile kes publikujes. To je vlastne utok proti gc.com, napriklad bys takhle mohl prave krast hesla ke GC uctum. V obecnem pripade to ale tak jednoduse nejde, a proto se pouzivaji ruzne dalsi cesty, jak kod do stranky vlozit - prispevky v diskusich, chybova hlaseni,obsah vkladany pres RSS ...
  • 0

#11 eMenthal

eMenthal

    Advanced Member

  • Members
  • PipPipPip
  • 78 příspěvků(y)

Publikováno 15 prosinec 2007 - 10:44

edheldil napsal/a:
Mozna by stalo za to odstranit aspon to otravne okno s presmerovanim pri prohlizeni listingu. S tematem to IMO souvisi minimalne, protoze to neni zadne XSS.


No, s tematem to velmi souvisi. Vzhledem k tomu, ze na gc.com neni mozne standardnim zpusobem vlozit do listingu zadny skript, tak pri tvorbe teto kesky bylo vyuzito prave XSS tak, ze se ho tam presto podarilo propasovat a na strance rentgenu je naznaceno, jakym zpusobem se toho docililo. Cilem bylo seznamit vas s pojmem XSS a ze muze zpusobovat neco, co ani autor webu nechtel. Seznamit vas s XSS jsem samozrejme mohl samostatnou keskou, ale toto mi prijde jako rychla a elegantni ukazka. Koho to otravuje, necht si necha zasilat logy emailem, ci pouzije vhodny prolizec. Az bude protestu vice, pak nad tim zauvazuji, ale zatim ponechavam.
  • 0

#12 LiborH

LiborH

    Advanced Member

  • Members
  • PipPipPip
  • 334 příspěvků(y)

Publikováno 15 prosinec 2007 - 13:33

eMenthal napsal/a:
Az bude protestu vice, pak nad tim zauvazuji, ale zatim ponechavam.

No mě to samozřejmě taky štve. Teď nemůžu stahovat seznam keší standardními postupy (tím nemyslím PQ). Je hezké seznámit ostatní s hackerskými praktikami, ale nemělo by to obtěžovat. Toť můj názor
  • 0

#13 edheldil

edheldil

    Advanced Member

  • Members
  • PipPipPip
  • 144 příspěvků(y)

Publikováno 15 prosinec 2007 - 13:40

eMenthal napsal/a:
No, s tematem to velmi souvisi. Vzhledem k tomu, ze na gc.com neni mozne standardnim zpusobem vlozit do listingu zadny skript, tak pri tvorbe teto kesky bylo vyuzito prave XSS tak, ze se ho tam presto podarilo propasovat a na strance rentgenu je naznaceno, jakym zpusobem se toho docililo. Cilem bylo seznamit vas s pojmem XSS a ze muze zpusobovat neco, co ani autor webu nechtel.


Aha, tak to jsem nevedel. Listing jsem jeste nedelal.
  • 0

#14 minarjo

minarjo

    minarjo

  • Members
  • PipPipPip
  • 758 příspěvků(y)

Publikováno 15 prosinec 2007 - 19:26

LiborH napsal/a:

eMenthal napsal/a:
Az bude protestu vice, pak nad tim zauvazuji, ale zatim ponechavam.

No mě to samozřejmě taky štve. Teď nemůžu stahovat seznam keší standardními postupy (tím nemyslím PQ). Je hezké seznámit ostatní s hackerskými praktikami, ale nemělo by to obtěžovat. Toť můj názor

NECHÁPU - jak ti může běžný redirect na jedné stránce listingu zamezit stahování seznamu keší? To je přece nesmysl ne? Když vidíš seznam, tak snad neotevíráš listingy, ale jen jejich tabulkový výpis.
P.S. Pokud myslíš stahování přes GeoGet, tam nevím jak to má HaLuMa řešené, ale zamezit redirectu by mělo jít nastavením všude stejně jako ve webovém prohlížení listingu, jinak je něco v programu neúplně, že (snad jsem se nedotknul HaLuMy).
  • 0

Nevíte si s něčím v GC rady? Zkuste jít nejprve na Českou encyklopedii GC


#15 seedcorp

seedcorp

    Advanced Member

  • Members
  • PipPipPip
  • 660 příspěvků(y)

Publikováno 15 prosinec 2007 - 21:17

No omlouvam se vsem, kteri s ito precetli, psal jsem to po navrat uz hospody a trosku jsem to nekontroloval. ALe stejne mne to stve, za druhou casti prispevku si stojim, cim vic se to tu bude ventilovat, tim vic lidi o tom bude vedet a tim vic lidi zacne hackovat. Moc dekuju. Btw jak to udelat jsem v IE jeste nenasel... v opere snadno, v FF taky...
  • 0

#16 LiborH

LiborH

    Advanced Member

  • Members
  • PipPipPip
  • 334 příspěvků(y)

Publikováno 15 prosinec 2007 - 21:59

To Minarjo: S geogetem ani Halumou to nemá nic společného. Na seznamu keší to samozřejmě problém nedělá. Problém je při stahování konkrétního listingu. Ale netřeba se mnou souhlasit či mi můj názor vyvracet . Ostatně sám eMenthal psal, že je málo protestů :) Pouze jsem se tedy vyjádřil, že se mi to nelíbí. Toť vše ;)
  • 0

#17 HaLuMa

HaLuMa

    Autor Geogetu

  • Members
  • PipPipPip
  • 14 508 příspěvků(y)

Publikováno 15 prosinec 2007 - 22:13

No, on Geoget nic nestahuje, tak mu to tezko muze delat nejaky problem. ;) S informacemi z PQ je ten listing v GeoGetu zcela bezproblemovy.
  • 0

#18 HaLuMa

HaLuMa

    Autor Geogetu

  • Members
  • PipPipPip
  • 14 508 příspěvků(y)

Publikováno 15 prosinec 2007 - 22:17

minarjo napsal/a:
P.S. Pokud myslíš stahování přes GeoGet, tam nevím jak to má HaLuMa řešené, ale zamezit redirectu by mělo jít nastavením všude stejně jako ve webovém prohlížení listingu, jinak je něco v programu neúplně, že (snad jsem se nedotknul HaLuMy).


Nedotknul. Protoze veskery stahovaci kod v ostre verzi GeoGetu neexistuje.

Ale pro informaci, stary stahovaci kod by z toho nemel byt nijak rozhozeny. Stahnul stranku a pak provadel jednoduche parsovani obsahu. Nejaky javascript ci jine opicarnicky mu byly zcela ukradene.
  • 0

#19 eMenthal

eMenthal

    Advanced Member

  • Members
  • PipPipPip
  • 78 příspěvků(y)

Publikováno 15 prosinec 2007 - 22:44

seedcorp napsal/a:
cim vic se to tu bude ventilovat, tim vic lidi o tom bude vedet a tim vic lidi zacne hackovat. Moc dekuju.


Pak se nabízí jednoduché řešení - toto vlákno smazat ;-)
  • 0

#20 Czecho Cowboy

Czecho Cowboy

    Advanced Member

  • Members
  • PipPipPip
  • 1 372 příspěvků(y)

Publikováno 16 prosinec 2007 - 8:38

Vlákno smazat myslím systém neumožňuje, jen zamknout... ;) Což je ostatně seedcorpova práce ;)
  • 0
Proud user of GeoGet 2




0 uživatel(ů) prochází toto téma

0 uživatelů, 0 návštěvníků 0 anonymních uživatelů

Reklama