bugtrack

HackForum

bugtrack#
Myslim, ze by se pravidla pro BugTrack meli upresnit a to klidne i na prikladech - co je vhodne pridat a co ne.

Napr. ja jsem pred chvili pridal LFI zranitelnost v redakcnim systemu Drosera CMS a nekdo to po par vterinach smazal. absolutne nechapu proc, pravidla jsem cetl a neporusil.

Tak jestli je BugTrack urcen jen pro non-presistent XSS na nejakem blogu anicky z pardubic, melo by se to do pravidel napsat...

----------
Pravá láska je, když si zapamatuješ její IP, abys obešel zpoždění DNS :)
(odpovědět)
Pr00y4m | E-mail | Website2.2.2008 16:24
re: bugtrack#
A ja bych ten "BugTrack" zrusil uplne. Pro fanousky trapnych XSS zranitelnosti budiz dobrym webem [link]
Proc vytvaret lacinou kopii neceho, co funguje jiz dlouho, kvalitne a je relativne zname? ;]
(odpovědět)
HC2.2.2008 16:37
re: bugtrack#
v BugTracku budou do tydne jen absolutni sragory. Porad dokola non-persistent XSS ve vyhledavani na strance... To je vzruso jak svina.
(odpovědět)
_( l ) | 85.132.198.*2.2.2008 17:03
re: bugtrack#
zase se sereš do něčeho co se tebe netýká.
(odpovědět)
Aton | Website2.2.2008 20:38
re: bugtrack#
Ale na rozdil od tebe se drzi tematu ;]
A ma pravdu. Je to porad to stejne a nema to vyuziti ;] Neni problem si stahnout/napsat automaticky tester XSS zranitelnosti a za hodinu jich mas par tisic...
Jine by bylo, zverejnit PoC, nebo primo exploit na _realne_ vyuziti takove zranitelnosti... A takovy clovek by mel u me respekt. Ale "XSS H4ck" alerty jsou jen k smichu ;]
(odpovědět)
HC2.2.2008 21:02
re: bugtrack#
nikde neni psano ze je to jen alert, muze to byt jakykoliv javascript, v pripade IE mozna i VBS, ale to nevim jiste... S takovymi vecmi se uz daji delat zazraky :)

----------
..:@]> [link] <[@:..
(odpovědět)
DjH | E-mail | Website | ICQ 319-960-8952.2.2008 21:18
re: bugtrack#
djh: "nikde neni psano ze je to jen alert, muze to byt jakykoliv javascript, v pripade IE mozna i VBS, ale to nevim jiste... S takovymi vecmi se uz daji delat zazraky :)"

1) Kde nic neni tam ani smrt nebere - nema smysl uvadet nepersistentni XSS na sajty, kde je ciste jen prezentace, jedine, co muzes docilit je zmena vzhledu.

2) Nema moc smysl uvadet neperzistenti XSS, protoze ho musis uzivateli nejak podstrcit, coz neni vzdy jednoduche.

Co ty na to?


(odpovědět)
hth | 85.160.22.8/127.0.0.*3.2.2008 0:21
re: bugtrack#
Nesouhlasim.. Podstrcit nekomu modifikovanou URL je stejne jednoduche jako ukrast diteti lizatko.. Jen to chce pouzit hlavu.. ;) Od TINYURL az po redirecty na duveryhodnych strankach ;)
(odpovědět)
RubberDuck. | 85.71.165.*3.2.2008 0:40
re: bugtrack#
Nerad bych z toho delal nejaky flamewar.

V predchozim prispevku jsem se vyjadroval k neperzistentnimu XSS obecne, nemyslel jsem jen "blogy anicky z pardubic", spis XSS na webech ruznych firem a instituci.

Opravdu si nemysim, ze by bylo jednoduche ukrast urcitemu diteti lizatko nebo podstrcit nekomu konkretnimu URL. Velmi zalezi na tom, kolik o dotycnem vis a kolik o nem mas sanci zjistit. To muze byt dost velky orisek.


(odpovědět)
hth | 85.160.30.48/127.0.0.*3.2.2008 19:41
re: bugtrack#
Nesouhlasím. Pokud napadneš svou oběť pomocí XSS například na Google, pak není problém ji, aniž by to věděla přesměrovat odkazem obsahujícím nepersistentní XSS na jiný náchylný web. V podstatě si se svou obětí můžeš dělat co chceš, aniž by o tom věděla. Stačí u ní vytvořit skrytý iframe a můžeš si skrz browser oběti procházet na XSS zranitelným internetem, jak je ti libo.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP3.2.2008 20:00
re: bugtrack#
Prvni problem je v tom, ze svou obet casto nemusis vubec znat. Casto nevis, komu ten email vubec poslat.

Ano, na vetsinu lidi email s linkem zabere. Jsou jini, na ktere zabere jen link na znamy sajt.
Jsou organizace, kde se emaily obsahujici linky vyhodnocuji automaticky jako spam. Jsou lide, kteri na linky v emailech proste nereaguji.

Ja jen tvrdim, ze u zajimavych sajtu, kde o neco jde, to neni tak jednoduche, jak obcas nekteri naznacuji.

Je to jako srovnavat nalezeni zranitelnosti na celem internetu kontra nalezeni zranitelnosti na danem serveru.

(odpovědět)
hth | 85.160.30.48/127.0.0.*3.2.2008 20:36
re: bugtrack#
je to jednoduche, kdyz to vezmu tou jednodussi formou - mailem. Staci napsat mail (HTML) kde bude neco takoveto:
stahuj porno <a href="ht_[link]">zde</a>
a v js.js muze byt cokoliv. Treba kdadez cookies a nakonec i to samotne presmerovani na porno ;)

----------
..:@]> [link] <[@:..
(odpovědět)
DjH | E-mail | Website | ICQ 319-960-8953.2.2008 2:44
re: bugtrack#
Podle me je to stejne, jako kdyz nekdo hodi hotovej sploit spoustejici kalkulacku.. Taky je k nicemu(pokud tedy utocnik neni chronickej matematik :D ).. Ma jen za cil demonstrovat chybu.. A tak je to i v pripade vypisovani hlasek.. Ale je pravdou, ze by se mela zavest pravidla. Nema smysl sem postovat kazdej web na freehostingu. Treba jen portaly s PageRankem 8 a vyse..
(odpovědět)
RubberDuck. | 85.71.165.*2.2.2008 23:10
re: bugtrack#
8? to omezuje asi jen na 1% z celeho internetu ;D, dal bych od 6ti, 8 totiz maj snad co vim, tak jen 4 ceske stranky...

----------
..:@]> [link] <[@:..
(odpovědět)
DjH | E-mail | Website | ICQ 319-960-8952.2.2008 23:49
re: bugtrack#
a navic by bylo mozne vytvorit script v php, kterej zjisti PR dane stranky a podle toho usoudi, zda prispevek prijme nebo ne

----------
..:@]> [link] <[@:..
(odpovědět)
DjH | E-mail | Website | ICQ 319-960-8952.2.2008 23:50
re: bugtrack#
Aton: radeji se nevyjadruj trumpeto.
(odpovědět)
_( l ) | 85.132.198.*2.2.2008 21:41
re: bugtrack#
Pr00y4m: Díval jsem se do logů a možná se budeš divit, ale příspěvek, který jsi vložil, sis smazal o dvě minuty později sám :)

Jinak význam projektu Bugtrack leží ve třech rovinách:
1) Správci webů si v něm mohou vyhledat, zda právě jejich web nebyl označen za zranitelný a mohou případné chyby opravit.
2) Začátečníci se mohou poučit na příkladech, které vložili zkušenější uživatelé. Navíc projekt není vyhrazen konkrétním zranitelnostem a tak je možné, že si v něm najde každý to své.
3) Projekt by měl poukázat na skutečnost, že je možné nalézt zranitelnosti v drtivé většině internetových aplikací.

Díky výše uvedeným bodům bych osobně nechal vložené veškeré příspěvky, které na chyby poukazují a nerozlišoval bych, zda jde o web velkého významu, či jen bezvýznamné osobí stránky. Koho projekt nezajímá, nemusí jej navštěvovat a přispívat do něj. Koho naopak zajímá, má k dispozici vyhledávání, kterým si může vyhledat pouze konkrétní zranitelnosti nebo domény...

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP3.2.2008 19:27
re: bugtrack#
Ja si to smazal sam? no, to se mi moc nezda - vcera jsem byl zcela strizlivy... :)

No, tak tam neco nahazu, uvidime, jestli to zas zmizi :)

----------
Pravá láska je, když si zapamatuješ její IP, abys obešel zpoždění DNS :)
(odpovědět)
Pr00y4m | E-mail | Website3.2.2008 20:13

Zpět
 
 
 

 
BBCode