Nahrazení webblogu na libimseti.cz jinou stránkou

HackForum

Nahrazení webblogu na libimseti.cz jinou stránkou#
Toto není žádný bug, nebo nějaká obrovská chyba, ba ani malinká ;)

Princip spočívá v tom, že každý uživatel portálu [link] má možnost založit si menší webový blog, na který se bude odkazovat rovnou z odkazovýho menu, kde si ostatní buď mohou daného uživatele přidat do seznamu svých přátel atd... A taky si právě už prohlídnout jeho blog.

jednoduše si zkuste založit nějakej ten blog...
je zde možnost si vybrat z pár šablon, nebo do xhtml kodu importovat tu svou [teď už asi všem docvaklo ;)]

pod odkazem editace šablony se vám otevře nové okno s XHTML kodem současné šablony. Vy ale celý kode přepíšete například na:

<script>
window.location.href="[link]";
</script>

a ejhle, když někdo klikne na váš blog, vyjede mu google ;)

Nemusis zde doufám vysvětlovat, co se s touhle "chybkou" dá všechno udělat ;)
napíšete si tam něco co potřebujete, pak napíšete kamarádovi "hele, omrkni můj blog a zhodnoť mi ho"... Neviňátko klikne, v domnění, že mu nic nehrozí a ejhle, rána pod pás...

To už ale moc prozrazuju... Du si zase hrát, tak zatim caw all ;)





(odpovědět)
El Matador | 82.113.48.*16.5.2009 20:31
re: Nahrazení webblogu na libimseti.cz jinou strán#
Na tuhle chybu jsem adminy upozornoval uz nekdy pred pul rokem. Do dnesniho dne nebyli schopni to opravit. Stejne jako asi dalsi 4 zavazne chyby (sql injection, XSRF, LFI, hromada neperzistentnich XSS). Cele libimseti je derave.
(odpovědět)
xaxaxa | 193.200.150.*16.5.2009 21:33
re: Nahrazení webblogu na libimseti.cz jinou strán#
Taky byl nakej bug, že se dal do údajů napsat skript, a pak když se někdo na ten účet podíval, po odhlášení mu to změnilo heslo...

Ale sou to prkotinky a nejspíš je už nikdy neopravěj.

Stejně jako mlj kámoš, kterej schodil prohlížeč z informačních kiosků v metru, dostal se do winu a zapnul si tam screensaver se svym nickem...a byl v novinách a na idnes...

Dodnes mi nechce říct, jak se mu to povedlo...nevíte někdo, jak by to šlo (sry za offtop ;))
(odpovědět)
El Matador | E-mail | ICQ 37992718316.5.2009 21:53
re: Nahrazení webblogu na libimseti.cz jinou strán#
nechtel jsem se ucastnit, ale vcera ve ctvrtek kdyz jsme se skolou jeli na exkurzi, tka jsem to jako ze taky zkusim. Nejdrive jsem zkousel standart xss ale nic. Kdyz uz mi to jelo tak sem zacal byt nervozni a trochu sem do toho mlatil, a najednou okenko "Aplikace iexplore.exe neodpovídá."
odkliknul sem a byl sem ve widlich. jen skoda ze uz nevim kde to bylo.
(odpovědět)
jadus. | 88.103.38.*22.5.2009 16:33
re: Nahrazení webblogu na libimseti.cz jinou strán#
Nechapu v cem je tebou popsany "bug" tak mocny ?
(odpovědět)
cP | 67.159.44.*17.5.2009 0:30
re: Nahrazení webblogu na libimseti.cz jinou strán#
Podle toho, jak je to popsany, tak mi to pripada asi takhle:

Na libimseti.cz mas moznost si udelat vlastni stranku. A dokonce si k ni napsat vlastni zdrojak. To je ale obrovska bezpecnostni chyba!

Jsem vazne tak nevyspanej, ze mi to prijde jako blbost?

----------
public static void main(String args[]){
 throw new UnsupportedOperationException("Not implemented!");
}


(odpovědět)
pr0ph3t17.5.2009 13:52
re: Nahrazení webblogu na libimseti.cz jinou strán#
je to taky podle me pekna hloupost,mozna jedinou vyhodu bych videl v tom, ze pri pripadnem utoku zalozenem na socialnim inzenyrstvi pusobi domena libimseti jako "bezpecna",ale zase to by musel byt utok veden proti nejakymu pubertakovi takze je to stejne k nicemu. nektery veci asi nikdy nepochopim
(odpovědět)
cP | 74.207.224.*17.5.2009 14:00
re: Nahrazení webblogu na libimseti.cz jinou strán#
to neni bug vsechy mozne redirekty na profil jsou osetrene. jen tim davaji prostor uzivatelum blogerum coz je spise dobreee nez spatne

navstivte:
[link]

----------
[link]

[link]

Někdy kokot kokotem není, někdy je to prostě jenom pták.
(odpovědět)
qteck | E-mail | Website | ICQ 36425086917.5.2009 23:02
re: Nahrazení webblogu na libimseti.cz jinou strán#
Udelal to tady Anonymous_ tusim ...
(odpovědět)
sLa | 89.102.104.*17.5.2009 0:41
re: Nahrazení webblogu na libimseti.cz jinou strán#
Ja vim, ze to udelal on... Ale nevim, jak...me se povedlo dostat se jen na stranku, ktera neexistuje a povedlo se mi vyjet z okna ale nespustim explorer. resp. se nedostanu na listu, proste nikam :(

ma nekdo nakej "xploit"? xD
(odpovědět)
El Matador | E-mail | ICQ 37992718317.5.2009 2:20
re: Nahrazení webblogu na libimseti.cz jinou strán#
to už je hodně starý bug

----------
Život by byl mnohem jednodušší, kdybychom k němu měli zdrojový kód.
(odpovědět)
Redwizara | E-mail | PGP | ICQ 29484361517.5.2009 1:55

Zpět
 
 
 

 
BBCode