3830scores.com | |
| | Init | 12.04.2018 13:01:41 |
Grupa: Użytkownik
Posty: 59 #2534995 Od: 2016-6-8
| Nie tyle strona pozwala, co ty do strony coś dopisujesz. No dobra - to inaczej , dowolną stronę można zapisać do pliku html i dowolnie zmodyfikować , tylko po co. Tutaj modyfikujesz zapytanie i cała frajda z tego, że uszkodzone zapytanie zostaje wyświetlone u ciebie na monitorze. Ja raczej wole inne przyjemności.
Init | | | Electra | 30.11.2024 15:17:38 |
|
| | | canis_lupus | 12.04.2018 13:04:50 |
Grupa: Użytkownik
QTH: Kraków
Posty: 7764 #2535000 Od: 2013-7-18
| Init pisze:
Nie tyle strona pozwala, co ty do strony coś dopisujesz. No dobra - to inaczej , dowolną stronę można zapisać do pliku html i dowolnie zmodyfikować , tylko po co. Tutaj modyfikujesz zapytanie i cała frajda z tego, że uszkodzone zapytanie zostaje wyświetlone u ciebie na monitorze. Ja raczej wole inne przyjemności.
Init
To teraz sobie wyobraź scenariusz, że zaczynam rozsiewać takie linki na PKI, kod w js pobiera koparkę i na komputerze klikającego odpala mi koparkę do *coinów albo cokolwiek. Np. serwer z pornografią dziecięcą (widziałem takie przypadki). _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y". | | | canis_lupus | 12.04.2018 13:15:51 |
Grupa: Użytkownik
QTH: Kraków
Posty: 7764 #2535004 Od: 2013-7-18
| SQ5KLN pisze:
edit Link Canisa (poprawiony) wyświetla okienko - to tylko przykład, taki skrypt może zrobić wszystko z kontekstu przeglądarki użytkownika (między innymi zrobić dowolne rzeczy na dowolnych stronach z których użytkownik przeglądarki się nie wylogował itp.).
Np. opublikować coś na forum z konta kogoś innego (klikającego w link). _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y". | | | Init | 12.04.2018 13:18:17 |
Grupa: Użytkownik
Posty: 59 #2535005 Od: 2016-6-8
| Dodanie do czegokolwiek ( zwłaszcza jako link) kodu java script może być szkodliwe. I trzeba to wyraźnie powiedzieć, że nie ma znaczenia do czego czy do .pdf czy jakie strony www zostan ie dopiety. To nie strona jest nie bezpieczna , ale ten scrypt. A co do rozsiewania tak spreparowanych informacji i rozpowszechniania np. na PKI , to sa na to o wiele skuteczniejsze sposoby.
Init | | | canis_lupus | 12.04.2018 13:22:05 |
Grupa: Użytkownik
QTH: Kraków
Posty: 7764 #2535007 Od: 2013-7-18
| Init pisze:
Dodanie do czegokolwiek ( zwłaszcza jako link) kodu java script może być szkodliwe. I trzeba to wyraźnie powiedzieć, że nie ma znaczenia do czego czy do .pdf czy jakie strony www zostan ie dopiety. To nie strona jest nie bezpieczna , ale ten scrypt. A co do rozsiewania tak spreparowanych informacji i rozpowszechniania np. na PKI , to sa na to o wiele skuteczniejsze sposoby. Init
Ale strona nie powinna na takie cos pozwalać. Są do tego odpowiednie metody. Doklej cos takiego na onecie czy innym googlu - sam zobaczysz, ze kompletnie nic się nie stanie. Wbrew pozorom to jest bardzo skuteczna metoda ataku. Bardzo prosta, przez co skuteczna. Dobrze napisana strona nie wklei tego kodu do zawartości html przekazywanej użytkownikowi. _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y". | | | Init | 12.04.2018 13:27:30 |
Grupa: Użytkownik
Posty: 59 #2535010 Od: 2016-6-8
| Tak ad hoc, przychodzi mi do głowy <,noscript>, w html.
Init | | | canis_lupus | 12.04.2018 13:29:37 |
Grupa: Użytkownik
QTH: Kraków
Posty: 7764 #2535012 Od: 2013-7-18
| Init pisze:
Tak ad hoc, przychodzi mi do głowy <,,noscript>,, w html.
Init
Swoją drogą dziura w tym forum: autor łatając poprzednią, zaczął dodawać przecinki do daszków. Ale tylko na etapie pisania posta. Można edytować :-) _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y". | | | canis_lupus | 12.04.2018 13:31:07 |
Grupa: Użytkownik
QTH: Kraków
Posty: 7764 #2535014 Od: 2013-7-18
| canis_lupus pisze: Init pisze:
Tak ad hoc, przychodzi mi do głowy <,,,noscript>,,, w html.
Init
Swoją drogą dziura w tym forum: autor łatając poprzednią, zaczął dodawać przecinki do daszków. Ale tylko na etapie pisania posta. Można edytować :-)
Przecinki się dodają przy kolejnych odpowiedziach! _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y". | | | Init | 12.04.2018 13:44:15 |
Grupa: Użytkownik
Posty: 59 #2535023 Od: 2016-6-8
| A z ciekawości, jaka klasa obsługuje takie przypadki - "Wbrew pozorom to jest bardzo skuteczna metoda" ?.
Init | | | canis_lupus | 12.04.2018 14:10:48 |
Grupa: Użytkownik
QTH: Kraków
Posty: 7764 #2535029 Od: 2013-7-18
| Init pisze:
A z ciekawości, jaka klasa obsługuje takie przypadki - "Wbrew pozorom to jest bardzo skuteczna metoda" ?.
Init
Nie zrozumiałem pytania. _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y". | | | SP8LBK | 12.04.2018 14:13:31 |
Grupa: Użytkownik
QTH: Kraśnik KO10CX
Posty: 5366 #2535030 Od: 2010-8-3
| To przed chwilą dostał canis od Spika, ale zapewne nie pochwali się.
Heja Szymon!
Dlaczego nazywasz dziurą zwykła zabawę? Co z tego, że każdy może sobie coś napisać w nagłówku? Jak chcesz poważniej coś pohackować, to podpowiem, jedyne co ta strona robi (oprócz wrzucania $_GET['call'] w nagłówek to:
<,?php
echo "var logCSV = '".str_replace("\r\n",",",file_get_contents('logs_csv/'.str_replace("/","_",$_GET['call']).'.csv'))."',", ?>,
Byłbym wdzięczny za poważne próby włamywania się i modyfikacji zawartości serwera i donoszenie o tym, a nie zabawy które były popularne w latach 90' i nic z dziurami wspólnego nie mają.
Po prostu dorzucanie "antyzabawowych" algorytmów jest zbędne, bo te zabawy dla większości zrobiły się nudne lata temu i nie są w żaden sposób szkodliwe.
Ten sam poziom hakerstwa to: <,a href="http://dupa8.com">,TO JEST STRONA SP DX CONTESTU<,/a>,.
Jak ktoś jest na tyle gupi, żeby uwierzyć, że wszedl na stronę SP DX Contestu i mieć pretensje, że strona jest zhackowana, no to teges...
Narazka!
73/nj
I jeszcze jedno. To co oglądamy w swoich przeglądarkach po kliknięciu na https://spdxcontest-2018.pzk.org.pl/2018/ wyświetla się tylko na Waszych ekranach. To się są dane z serwera. Dlatego są to pakiety po 50 lub 100 rekordów, aby nie zamulały starych i mało wydajnych kompów.
_________________ Vy 73 Andrzej SP8LBK | | | Electra | 30.11.2024 15:17:38 |
|
| | | Init | 12.04.2018 14:14:40 |
Grupa: Użytkownik
Posty: 59 #2535031 Od: 2016-6-8
| Skoro mamy metodę , to chyba chodzi o użycie jakieś klasy - o to pytam. No chyba, że nie mówimy o stronie www w javie, ale o czymś inny - to przepraszam.
Init | | | canis_lupus | 12.04.2018 14:17:16 |
Grupa: Użytkownik
QTH: Kraków
Posty: 7764 #2535032 Od: 2013-7-18
| Init pisze:
Skoro mamy metodę , to chyba chodzi o użycie jakieś klasy - o to pytam. No chyba, że nie mówimy o stronie www w javie, ale o czymś inny - to przepraszam. Init
Bosz... Metody maja nie tylko klasy. I nie mówimy o stronie www w javie tylko co najwyżej o javascripcie na stronie www. _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y". | | | canis_lupus | 12.04.2018 14:18:52 |
Grupa: Użytkownik
QTH: Kraków
Posty: 7764 #2535034 Od: 2013-7-18
Ilość edycji wpisu: 1 | SP8LBK pisze: To przed chwilą dostał canis od Spika, ale zapewne nie pochwali się.
...
I jeszcze jedno. To co oglądamy w swoich przeglądarkach po kliknięciu na https://spdxcontest-2018.pzk.org.pl/2018/ wyświetla się tylko na Waszych ekranach. To się są dane z serwera. Dlatego są to pakiety po 50 lub 100 rekordów, aby nie zamulały starych i mało wydajnych kompów.
Gwarantuję Ci, że... nie dostałem. Moja skrzynka wie co robić z mailami od Spaika, bo są warte mniej więcej tyle co zawiadomienia o 50mln $ spadku. _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y". | | | Init | 12.04.2018 14:20:39 |
Grupa: Użytkownik
Posty: 59 #2535035 Od: 2016-6-8
| OK - zrozumiałem.
Zostajemy w piaskownicy i udajemy, że wszystko wiemy. Nie ma sprawy , może być i taka konwencja tego pisania.
Init
bez odbioru | | | Init | 15.04.2018 08:12:13 |
Grupa: Użytkownik
Posty: 59 #2535627 Od: 2016-6-8
| Nie będę się pastwił - nie kopie się leżącego, dlatego tą żałosną próbę wybrnięcia z sytuacji pozostawię bez komentarza.
Init | | | SP8LBK | 15.04.2018 12:19:44 |
Grupa: Użytkownik
QTH: Kraśnik KO10CX
Posty: 5366 #2535680 Od: 2010-8-3
| SQ5KLN pisze: Init pisze:
Skoro mamy metodę , to chyba chodzi o użycie jakieś klasy - o to pytam.
Nie chodzi o metodę jako pojęcie z programowania obiektowego, tylko o metodę rozumianą jako sposób postępowania.
Init pisze:
No chyba, że nie mówimy o stronie www w javie, ale o czymś inny - to przepraszam.
Nie ma stron WWW w Javie (chyba że podciągniemy pod to applety w Javie, ale to prehistoria), są tylko strony WWW wygenerowane (statycznie bądź dynamicznie) przez program napisany w Javie (ale nadal są to strony w HTML+JS).
Co do strony SP DX Contest: była kolejnym miejscem w sieci ułatwiającym dokonanie ataku XSS - tylko tyle.
O której stronie SP DX Contestu piszesz?? Jeśli o starej, to masz rację. Powstała ona kilkanaście lat temu i nie była specjalnie rozwijana.
Poza tym, w jakim stopniu krótkofalowiec, tym bardziej polski, musi mieć zmieszany mózg z g...em, aby próbować włamywać się na stronę organizatora polskich zawodów i jeszcze się tym publicznie chwalić. Jeśli już zauważy jakich błąd, lub lukę w zabezpieczeniu, powinien skontaktować się bezpośrednio z administratorem strony, a nie publicznie głosić wieść o swojej głupocie.
_________________ Vy 73 Andrzej SP8LBK | | | canis_lupus | 15.04.2018 12:33:43 |
Grupa: Użytkownik
QTH: Kraków
Posty: 7764 #2535683 Od: 2013-7-18
| SP8LBK pisze:
Poza tym, w jakim stopniu krótkofalowiec, tym bardziej polski, musi mieć zmieszany mózg z g...em, aby próbować włamywać się na stronę organizatora polskich zawodów i jeszcze się tym publicznie chwalić. Jeśli już zauważy jakich błąd, lub lukę w zabezpieczeniu, powinien skontaktować się bezpośrednio z administratorem strony, a nie publicznie głosić wieść o swojej głupocie.
Pewnych rzeczy nie rozumiesz, ale to nie przestępstwo. Pojęcie o tym co tu napisane POWINIEN mieć ten, co strony robi. W sytuacji kiedy robi za darmo, bo organizacji nie stać na profesjonalistę - jest to wybaczalne i jakoś usprawiedliwione. To nie jest problem. Problemem jest to, ze ktoś mógłby to chcieć wykorzystać do bardziej niecnych celów, o których zresztą pisałem wyżej, te już pociągają za sobą dosyć nieprzyjemne skutki dla odwiedzającego. I owszem, w normalnej sytuacji zgłasza się takie rzeczy administratorowi. pod warunkiem, że nie jest bucem, z którym odechciewa się kontaktować. Jak pokazuje przykład mojej korespondencji z prezesem SP DX Clubu (Tobą), zgłaszanie problemów właścicielowi skutkuje jedynie wyśmianiem. Wtedy takie rzeczy robi się publicznie. Niestety.
_________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y". | | | Init | 15.04.2018 13:41:34 |
Grupa: Użytkownik
Posty: 59 #2535699 Od: 2016-6-8
Ilość edycji wpisu: 1 | To może, żeby było wiadomo o co spór się ten toczy - Pro publico bono !
Abstrakt
https://sekurak.pl/bezpieczenstwo-html5-podstawy-czesc-2/
W swojej wypowiedzi użyłem skrótu myślowego, zgodnie z powiedzeniem - mądrej głowie dość po słowie.
Init | | | SP8LBK | 17.04.2018 07:49:58 |
Grupa: Użytkownik
QTH: Kraśnik KO10CX
Posty: 5366 #2536225 Od: 2010-8-3
| canis_lupus pisze: SP8LBK pisze:
Poza tym, w jakim stopniu krótkofalowiec, tym bardziej polski, musi mieć zmieszany mózg z g...em, aby próbować włamywać się na stronę organizatora polskich zawodów i jeszcze się tym publicznie chwalić. Jeśli już zauważy jakich błąd, lub lukę w zabezpieczeniu, powinien skontaktować się bezpośrednio z administratorem strony, a nie publicznie głosić wieść o swojej głupocie.
Pewnych rzeczy nie rozumiesz, ale to nie przestępstwo. Pojęcie o tym co tu napisane POWINIEN mieć ten, co strony robi. W sytuacji kiedy robi za darmo, bo organizacji nie stać na profesjonalistę - jest to wybaczalne i jakoś usprawiedliwione. To nie jest problem. Problemem jest to, ze ktoś mógłby to chcieć wykorzystać do bardziej niecnych celów, o których zresztą pisałem wyżej, te już pociągają za sobą dosyć nieprzyjemne skutki dla odwiedzającego. I owszem, w normalnej sytuacji zgłasza się takie rzeczy administratorowi. pod warunkiem, że nie jest bucem, z którym odechciewa się kontaktować. Jak pokazuje przykład mojej korespondencji z prezesem SP DX Clubu (Tobą), zgłaszanie problemów właścicielowi skutkuje jedynie wyśmianiem. Wtedy takie rzeczy robi się publicznie. Niestety.
Podaj przykład, kiedy zwróciłeś się do prezesa SP DX Clubu i zgłosiłeś jakiś problem ze stroną SP DX Contestu, bo to co tu napisałeś, to problem sobie sam stworzyłeś i rajcowało cię oglądanie go tylko na swoim ekranie. _________________ Vy 73 Andrzej SP8LBK | | | Electra | 30.11.2024 15:17:38 |
|
|
Aby pisac na forum musisz sie zalogować !!! |
|