CSRF

HackForum

CSRF#
Můžete odstranit ten CSRF z hlavní index stránky [link] vypadá to lamersky na stránce, která se zabývá bezpečností, že harvie

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website3.4.2007 11:44
re: CSRF#
mzk: Díky, já furt kam to strčil :)
harvie: Věřím, že už ti to stačilo :)

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP3.4.2007 12:00
OFF TOPIC#
Jo a behem techto nekolika malo dnu ste si taky mohli vsichni z moji karmy spocitat, ze pocet lidi, ktery se zaden prihlasi, je v dost zajimavem pomeru s poctem lamerskejch dotazu we webforu...

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]

(odpovědět)
Harvie | E-mail | Website | ICQ 2837829783.4.2007 16:26
re: CSRF#
Harvie, udelej to jeste jedou a snizim ti karmu na -1000, na tohle jsi prava redaktora nedostal (jj, proste mi jen vadi, ze jsi me predbehl =)
(odpovědět)
Emkei | E-mail | Website | PGP3.4.2007 12:41
re: CSRF#
Po pravde: trochu sem se stydel, kdyz sem te predbehl, inspiroval me DC, kdyz mi rek neco ve smyslu: "tu sem si dal sam...".
BTW: K tomu abys neco podobneho udelal zrejme prava redaktora nepotrebujes. Je spousta zpusobu, jak tohle delat ;)

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]

(odpovědět)
Harvie | E-mail | Website | ICQ 2837829783.4.2007 13:48
re: CSRF#
k tomu, aby jsi to udelal primo na indexu, ano ...
(odpovědět)
Emkei | E-mail | Website | PGP3.4.2007 15:14
re: CSRF#
Jemu to proslo? a co ja? =(
vim, ze DC by to okomentoval: "buhehe"

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]

(odpovědět)
Harvie | E-mail | Website | ICQ 2837829783.4.2007 16:21
re: CSRF#
Mno a nechcete na soomu udelat nejakou podobnou hru, kde by vyse karmy nezavisela na tom, kdo ma lepsi prava, ale na tom, kdo si ji umi lip prihackovat?

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]

(odpovědět)
Harvie | E-mail | Website | ICQ 2837829783.4.2007 16:27
re: CSRF#
karmu vystrida casem vyse score v soom hacking game, az bude hotova.
(odpovědět)
Emkei | E-mail | Website | PGP3.4.2007 17:34
re: CSRF#
PS, divím se, že to nikdo nepoznal. Udělal chybu, že img src psal absolutně s HTTPS. Kdyby to psal relativně, tak to nepoznám. PS, je nějaká obranu proti těmto <iframe nebo neviditelným obrázků atd? Asi ne co? nějaké nastavení prohlížeče

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website3.4.2007 13:27
re: CSRF#
mzk: Obranou myslíš, aby uživatel nemohl tento tag vložit nebo aby nebyl možný útok CSRF?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP3.4.2007 13:37
re: CSRF#
mzk: Už jsem tvůj dotaz pochopil :) Jediné co mě napadá je vytvořit si sadu důvěryhodných serverů, které navštěvuješ a ostatní zakázat. Pokud však některý z těchto serverů trpí na XSS, tak ti to ale stejně nepomůže.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP3.4.2007 15:13
re: CSRF#
Myslel jsem nějaký speciální css styl pro neviditelný i frame, nebo uživatelský JS pro (nenačtení img src (hodí chybu)). Prostě obrana na straně uživatele.. Moc jsem se nechlubil poslední dobou, co se mi povedlo na linkuj.cz [link]

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website4.4.2007 0:09
re: CSRF#
Harvie: ja te varoval...
(odpovědět)
Emkei | E-mail | Website | PGP4.4.2007 10:59
re: CSRF#
Emkei: já myslel, žes to smazal všechno...
Ale stejně sem tě dostal. Mám největší |karmu| na celém soomu ;)
(odpovědět)
Harvie_ | 213.220.241.*4.4.2007 13:41
re: CSRF#
A kčemu ti to je?

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website4.4.2007 14:28
re: CSRF#
K nicemu, jen jsem upozornoval na diru.
(odpovědět)
Harvie_ | 213.220.241.*4.4.2007 16:28
re: CSRF#
no tak to by me zajimalo, co vsechno redaktori mohou, to mohou pritupovat i do indexu ?! BTW gratuluji za napad, ale zase lituji toho ze se neco takove na soomu z rad redaktoru muze stat... Redaktori by spise meli IMHO takoveto lidi "odstranovat" a ne je nahrazovat :D Jinak, mohu se zeptat kde to primo bylo ? V novinkach ? Bo nekde jinde ?
To Harvie: LOL prislo mi divny ze se me browser furt pta, ze me soom.cz vnucuje https ikdyz jsem pres nej nelezl... No nedoslo mi to ze mas prava taky na index.. BTW dark si to upravil primo v DB...
LOL treba se dozijeme i doby, kdy budou redaktori podkopavat web a zamerne ho hackovat :D

----------
Cow power by Gentoo...
(odpovědět)
Anonymous_ | E-mail4.4.2007 14:33
re: CSRF#
Proc? nasel sem diru, ktera je i v user texts (dle me je mega kkt*na zakazat img a nechat povoleny iframe). Proste sem analyzoval bezpecnost a pocital s tim, ze to nekdo opravi. Nestalo se. =(

Jo, stim https to byla moje blbost, mel sem to decimalne zakodovat a pouzit relativni adresu.

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]

(odpovědět)
Harvie | E-mail | Website | ICQ 2837829784.4.2007 15:51
re: CSRF#
NJN, to https bylo nedomyšlený.
Zakodování by ti pomohlo jen trochu, pořád by tu byl vidět ten iframe. A neboj se, že to neopraví.

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website4.4.2007 17:57
re: CSRF#
Bylo mi divný očividně nestačí ;-)

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website4.4.2007 17:54
re: CSRF#
pridal si to do popisku clanku, kde maji redaktori narozdil od beznych uzivatelu pravo pouzivat html tagy. nakonec to dospeje k tomu, ze budu redaktorum prava ubirat, nez abych jim je, jako dosud, pridaval...
(odpovědět)
Emkei | E-mail | Website | PGP4.4.2007 14:44
re: CSRF#
Dal by se nastylovat zpatky na viditelnej, tim, ze kazdymu iframu das minwidth, minheight a display: block;
(odpovědět)
Harvie_ | 213.220.241.*4.4.2007 16:25

Zpět
 
 
 

 
BBCode