NOWE POSTY | NOWE TEMATY | POPULARNE | STAT | RSS | KONTAKT | REJESTRACJA | Login: Hasło: rss dla

HOME » DYPLOMY I ZAWODY KRÓTKOFALARSKIE » 3830SCORES.COM

Przejdz do dołu strony<<<Strona: 2 / 3>>>    strony: 1[2]3

3830scores.com

  
SQ5KLN
12.04.2018 12:57:49
poziom 6



Grupa: Użytkownik

Posty: 1195 #2534993
Od: 2012-7-10


Tak się składa, że silnik forum PKI "zepsuł" linka (dopiero po edycji silnik zapisał go w takiej formie jak powinien). To nie jest kwestia umieszczenia napisu na stronie (to akurat detal) ale tą techniką można wykonać dowolny kod JavaScript (nie tylko wyświetlenie alertu jak to było w przykładzie Canisa).
_________________
Piotr
  
Electra19.12.2018 04:25:13
poziom 5

oczka
  
Init
12.04.2018 13:01:41
poziom 2

Grupa: Użytkownik

Posty: 50 #2534995
Od: 2016-6-8
Nie tyle strona pozwala, co ty do strony coś dopisujesz.
No dobra - to inaczej , dowolną stronę można zapisać do pliku html i dowolnie zmodyfikować , tylko po co.
Tutaj modyfikujesz zapytanie i cała frajda z tego, że uszkodzone zapytanie zostaje wyświetlone u ciebie na monitorze.
Ja raczej wole inne przyjemności.

Init
  
canis_lupus
12.04.2018 13:04:50
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Kraków

Posty: 4371 #2535000
Od: 2013-7-18
    Init pisze:

    Nie tyle strona pozwala, co ty do strony coś dopisujesz.
    No dobra - to inaczej , dowolną stronę można zapisać do pliku html i dowolnie zmodyfikować , tylko po co.
    Tutaj modyfikujesz zapytanie i cała frajda z tego, że uszkodzone zapytanie zostaje wyświetlone u ciebie na monitorze.
    Ja raczej wole inne przyjemności.

    Init


To teraz sobie wyobraź scenariusz, że zaczynam rozsiewać takie linki na PKI, kod w js pobiera koparkę i na komputerze klikającego odpala mi koparkę do *coinów albo cokolwiek. Np. serwer z pornografią dziecięcą (widziałem takie przypadki).
_________________

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, anonimowy pirat, do d**y" z Hackerspace Kraków

  
SQ5KLN
12.04.2018 13:08:41
poziom 6



Grupa: Użytkownik

Posty: 1195 #2535002
Od: 2012-7-10


Ilość edycji wpisu: 2
    Init pisze:

    Dobry żart !!!. To może najpierw print screen , a potem pomazać w Paint?!
    Przecież to się wykona tylko lokalnie na własnej przeglądarce. Równie dobrze można w Javie zrobić napis "A Kazio jest głupi" i w ogóle żadna strona wtedy nie jest potrzebna.


Tu nie chodzi o napis na stronie widziany lokalnie (to akurat był efekt "zepsucia" linka przez silnik forum PKI), tylko o możliwość wykonania w ten sposób dowolnego kodu JS (który może na przykład napisać posta na forum, wysłać sesyjne ciastko GMaila na "zaprzyjaźniony" serwer czy zrobić sokolwiek innego na co pozwala JS). Wrzucasz gdzieś na forum link do strony niby ze swoimi wynikami a "pod spodem" możesz zrobić wszystko już w kontekście przeglądarki użytkownika który kliknął w ten link (klasyczny atak XSS).

edit Link Canisa (poprawiony) wyświetla okienko - to tylko przykład, taki skrypt może zrobić wszystko z kontekstu przeglądarki użytkownika (między innymi zrobić dowolne rzeczy na dowolnych stronach z których użytkownik przeglądarki się nie wylogował itp.).
_________________
Piotr
  
canis_lupus
12.04.2018 13:15:51
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Kraków

Posty: 4371 #2535004
Od: 2013-7-18
    SQ5KLN pisze:


    edit Link Canisa (poprawiony) wyświetla okienko - to tylko przykład, taki skrypt może zrobić wszystko z kontekstu przeglądarki użytkownika (między innymi zrobić dowolne rzeczy na dowolnych stronach z których użytkownik przeglądarki się nie wylogował itp.).


Np. opublikować coś na forum z konta kogoś innego (klikającego w link).
_________________

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, anonimowy pirat, do d**y" z Hackerspace Kraków

  
Init
12.04.2018 13:18:17
poziom 2

Grupa: Użytkownik

Posty: 50 #2535005
Od: 2016-6-8
Dodanie do czegokolwiek ( zwłaszcza jako link) kodu java script może być szkodliwe.
I trzeba to wyraźnie powiedzieć, że nie ma znaczenia do czego czy do .pdf czy jakie strony www zostan ie dopiety.
To nie strona jest nie bezpieczna , ale ten scrypt. A co do rozsiewania tak spreparowanych informacji i rozpowszechniania np. na PKI , to sa na to o wiele skuteczniejsze sposoby.


Init
  
canis_lupus
12.04.2018 13:22:05
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Kraków

Posty: 4371 #2535007
Od: 2013-7-18
    Init pisze:

    Dodanie do czegokolwiek ( zwłaszcza jako link) kodu java script może być szkodliwe.
    I trzeba to wyraźnie powiedzieć, że nie ma znaczenia do czego czy do .pdf czy jakie strony www zostan ie dopiety.
    To nie strona jest nie bezpieczna , ale ten scrypt. A co do rozsiewania tak spreparowanych informacji i rozpowszechniania np. na PKI , to sa na to o wiele skuteczniejsze sposoby.
    Init


Ale strona nie powinna na takie cos pozwalać. Są do tego odpowiednie metody. Doklej cos takiego na onecie czy innym googlu - sam zobaczysz, ze kompletnie nic się nie stanie. Wbrew pozorom to jest bardzo skuteczna metoda ataku. Bardzo prosta, przez co skuteczna. Dobrze napisana strona nie wklei tego kodu do zawartości html przekazywanej użytkownikowi.
_________________

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, anonimowy pirat, do d**y" z Hackerspace Kraków

  
Init
12.04.2018 13:27:30
poziom 2

Grupa: Użytkownik

Posty: 50 #2535010
Od: 2016-6-8
Tak ad hoc, przychodzi mi do głowy <,noscript>, w html.



Init
  
canis_lupus
12.04.2018 13:29:37
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Kraków

Posty: 4371 #2535012
Od: 2013-7-18
    Init pisze:

    Tak ad hoc, przychodzi mi do głowy <,,noscript>,, w html.

    Init


Swoją drogą dziura w tym forum: autor łatając poprzednią, zaczął dodawać przecinki do daszków. Ale tylko na etapie pisania posta. Można edytować :-)
_________________

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, anonimowy pirat, do d**y" z Hackerspace Kraków

  
canis_lupus
12.04.2018 13:31:07
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Kraków

Posty: 4371 #2535014
Od: 2013-7-18
    canis_lupus pisze:

      Init pisze:

      Tak ad hoc, przychodzi mi do głowy <,,,noscript>,,, w html.

      Init


    Swoją drogą dziura w tym forum: autor łatając poprzednią, zaczął dodawać przecinki do daszków. Ale tylko na etapie pisania posta. Można edytować :-)


Przecinki się dodają przy kolejnych odpowiedziach!
_________________

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, anonimowy pirat, do d**y" z Hackerspace Kraków

  
Init
12.04.2018 13:44:15
poziom 2

Grupa: Użytkownik

Posty: 50 #2535023
Od: 2016-6-8
A z ciekawości, jaka klasa obsługuje takie przypadki - "Wbrew pozorom to jest bardzo skuteczna metoda" ?.


Init
  
Electra19.12.2018 04:25:13
poziom 5

oczka
  
canis_lupus
12.04.2018 14:10:48
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Kraków

Posty: 4371 #2535029
Od: 2013-7-18
    Init pisze:

    A z ciekawości, jaka klasa obsługuje takie przypadki - "Wbrew pozorom to jest bardzo skuteczna metoda" ?.


    Init


Nie zrozumiałem pytania.
_________________

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, anonimowy pirat, do d**y" z Hackerspace Kraków

  
SP8LBK
12.04.2018 14:13:31
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Kraśnik KO10CX

Posty: 4920 #2535030
Od: 2010-8-3
To przed chwilą dostał canis od Spika, ale zapewne nie pochwali się.

Heja Szymon!

Dlaczego nazywasz dziurą zwykła zabawę?
Co z tego, że każdy może sobie coś napisać w nagłówku?
Jak chcesz poważniej coś pohackować, to podpowiem, jedyne co ta strona robi (oprócz wrzucania $_GET['call'] w nagłówek to:

<,?php

echo "var logCSV = '".str_replace("\r\n",",",file_get_contents('logs_csv/'.str_replace("/","_",$_GET['call']).'.csv'))."',",
?>,

Byłbym wdzięczny za poważne próby włamywania się i modyfikacji zawartości serwera i donoszenie o tym, a nie zabawy które były popularne w latach 90' i nic z dziurami wspólnego nie mają.

Po prostu dorzucanie "antyzabawowych" algorytmów jest zbędne, bo te zabawy dla większości zrobiły się nudne lata temu i nie są w żaden sposób szkodliwe.

Ten sam poziom hakerstwa to: <,a href="http://dupa8.com">,TO JEST STRONA SP DX CONTESTU<,/a>,.

Jak ktoś jest na tyle gupi, żeby uwierzyć, że wszedl na stronę SP DX Contestu i mieć pretensje, że strona jest zhackowana, no to teges...

Narazka!

73/nj


I jeszcze jedno.
To co oglądamy w swoich przeglądarkach po kliknięciu na https://spdxcontest-2018.pzk.org.pl/2018/ wyświetla się tylko na Waszych ekranach. To się są dane z serwera.
Dlatego są to pakiety po 50 lub 100 rekordów, aby nie zamulały starych i mało wydajnych kompów.


_________________
Vy 73
Andrzej SP8LBK
  
Init
12.04.2018 14:14:40
poziom 2

Grupa: Użytkownik

Posty: 50 #2535031
Od: 2016-6-8
Skoro mamy metodę , to chyba chodzi o użycie jakieś klasy - o to pytam.
No chyba, że nie mówimy o stronie www w javie, ale o czymś inny - to przepraszam.



Init
  
canis_lupus
12.04.2018 14:17:16
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Kraków

Posty: 4371 #2535032
Od: 2013-7-18
    Init pisze:

    Skoro mamy metodę , to chyba chodzi o użycie jakieś klasy - o to pytam.
    No chyba, że nie mówimy o stronie www w javie, ale o czymś inny - to przepraszam.
    Init


Bosz... Metody maja nie tylko klasy. I nie mówimy o stronie www w javie tylko co najwyżej o javascripcie na stronie www.
_________________

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, anonimowy pirat, do d**y" z Hackerspace Kraków

  
canis_lupus
12.04.2018 14:18:52
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Kraków

Posty: 4371 #2535034
Od: 2013-7-18


Ilość edycji wpisu: 1
    SP8LBK pisze:

    To przed chwilą dostał canis od Spika, ale zapewne nie pochwali się.

    ...

    I jeszcze jedno.
    To co oglądamy w swoich przeglądarkach po kliknięciu na https://spdxcontest-2018.pzk.org.pl/2018/ wyświetla się tylko na Waszych ekranach. To się są dane z serwera.
    Dlatego są to pakiety po 50 lub 100 rekordów, aby nie zamulały starych i mało wydajnych kompów.



Gwarantuję Ci, że... nie dostałem. Moja skrzynka wie co robić z mailami od Spaika, bo są warte mniej więcej tyle co zawiadomienia o 50mln $ spadku.
_________________

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, anonimowy pirat, do d**y" z Hackerspace Kraków

  
Init
12.04.2018 14:20:39
poziom 2

Grupa: Użytkownik

Posty: 50 #2535035
Od: 2016-6-8
OK - zrozumiałem.

Zostajemy w piaskownicy i udajemy, że wszystko wiemy.
Nie ma sprawy , może być i taka konwencja tego pisania.


Init

bez odbioru
  
SQ5KLN
12.04.2018 14:52:43
poziom 6



Grupa: Użytkownik

Posty: 1195 #2535041
Od: 2012-7-10


Ilość edycji wpisu: 1
    Init pisze:

    Skoro mamy metodę , to chyba chodzi o użycie jakieś klasy - o to pytam.


Nie chodzi o metodę jako pojęcie z programowania obiektowego, tylko o metodę rozumianą jako sposób postępowania.

    Init pisze:


    No chyba, że nie mówimy o stronie www w javie, ale o czymś inny - to przepraszam.


Nie ma stron WWW w Javie (chyba że podciągniemy pod to applety w Javie, ale to prehistoria), są tylko strony WWW wygenerowane (statycznie bądź dynamicznie) przez program napisany w Javie (ale nadal są to strony w HTML+JS).

Co do strony SP DX Contest: była kolejnym miejscem w sieci ułatwiającym dokonanie ataku XSS - tylko tyle.
_________________
Piotr
  
Init
15.04.2018 08:12:13
poziom 2

Grupa: Użytkownik

Posty: 50 #2535627
Od: 2016-6-8
Nie będę się pastwił - nie kopie się leżącego, dlatego tą żałosną próbę wybrnięcia z sytuacji pozostawię bez komentarza.




Init
  
SP8LBK
15.04.2018 12:19:44
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Kraśnik KO10CX

Posty: 4920 #2535680
Od: 2010-8-3
    SQ5KLN pisze:

      Init pisze:

      Skoro mamy metodę , to chyba chodzi o użycie jakieś klasy - o to pytam.


    Nie chodzi o metodę jako pojęcie z programowania obiektowego, tylko o metodę rozumianą jako sposób postępowania.

      Init pisze:


      No chyba, że nie mówimy o stronie www w javie, ale o czymś inny - to przepraszam.


    Nie ma stron WWW w Javie (chyba że podciągniemy pod to applety w Javie, ale to prehistoria), są tylko strony WWW wygenerowane (statycznie bądź dynamicznie) przez program napisany w Javie (ale nadal są to strony w HTML+JS).

    Co do strony SP DX Contest: była kolejnym miejscem w sieci ułatwiającym dokonanie ataku XSS - tylko tyle.


O której stronie SP DX Contestu piszesz??
Jeśli o starej, to masz rację. Powstała ona kilkanaście lat temu i nie była specjalnie rozwijana.

Poza tym, w jakim stopniu krótkofalowiec, tym bardziej polski, musi mieć zmieszany mózg z g...em, aby próbować włamywać się na stronę organizatora polskich zawodów i jeszcze się tym publicznie chwalić.
Jeśli już zauważy jakich błąd, lub lukę w zabezpieczeniu, powinien skontaktować się bezpośrednio z administratorem strony, a nie publicznie głosić wieść o swojej głupocie.

_________________
Vy 73
Andrzej SP8LBK
  
Electra19.12.2018 04:25:13
poziom 5

oczka

Przejdz do góry strony<<<Strona: 2 / 3>>>    strony: 1[2]3

  << Pierwsza     < Poprzednia      Następna >     Ostatnia >>  

HOME » DYPLOMY I ZAWODY KRÓTKOFALARSKIE » 3830SCORES.COM

Aby pisac na forum musisz sie zalogować !!!

randki | własny sklep internetowy | promocje | CyberCiekawostki | darmowe forum | sklepy
opinie, testy, oceny | katalog stron | toplsta