Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
Verizont | 88.100.190.*25.10.2016 15:15
A co nechat to hledat to normálně broswerem a pokusit se zjisit pozici dokumentu přes windows.scrollY (byl by problém v případě neznámé výšky písma) případně asi lépe přes element. getBoundingClientRect(), tím by se vyselektoval element(řádek), který je buď nejblíž prostředku/začátku viewportu, záleží asi jak konkrétně kde kterýprohlížeč zobrazuje výsledek hledání (a taky kolikátý výsledek, třeba když jsou blízko u sebe, tak nescrolluje při procházení výsledeky)
.cCuMiNn. | E-mail | Website | PGP26.2.2014 15:22
leak: Upoadoval jsem na server svou ukázku pro Firefox: [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
leak | 82.113.39.*14.2.2014 16:10
Doména je už nefukční, šlo by nahrát exampl jinam?
T3 | 80.251.251.*23.12.2012 15:47
Pokud má člověk pozměněný skin f google chrome, je vyhledávací pole jiné, člověk který ho využívá opravdu hodně často by si tohoto faktu mohl všimnout... Další věc je ta jestli dotyčný používá pouze jedno písmeno... Samozřejmě se tím sníží kapacita následného wordlistu, ale výsledné heslo přímo nedostane...
R.K. | 89.103.140.*13.12.2012 18:56
Nemůže být toto pole součástí samotné webové aplikace, která je pod dohledem útočníka?

No, a jak toho docílit?
.cCuMiNn. | E-mail | Website | PGP11.12.2012 19:40
Ve článku je napsané, že je ta ukázka připravena tak, aby napodobovala vyhledávání ve Chrome. Že tedy ve FF vypadá jinak, je pochopitelné.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
nothinkTOshow | 78.111.126.*11.12.2012 17:46
A co třeba zkopírovat ten seznam někam třeba do wordu to by pak útočník neměl mít šanci to odhalit a vím je to pracné ale když jde o bezpečnost tak by pohodlí mělo jít stranou a mimochodem zkoušel jsem to na těch demo stránkách a ta líšta pro vyhledávání po Ctrl+F je opravdu změněna, zkušel jsem to i na normálních stránkách( jedná se o stránku www.zive.cz) a ta lišta pro to vyhledávání je jiná než ta na tý stránce pro ukázku toho ,,heslo zjišťujícího systému" z článku zde na stránkách.
Jirka123 | 147.231.28.*11.12.2012 17:44
Mne se to fake okenko ve firefoxu (po povoleni noscriptem) objevilo vpravo nahore, zatimco normalni CTRL+F je v dolni liste vlevo, takze by to bylo hned podezrele. Ale BFU to muze urcite snadno zmast.
Anonym65564564646 | 95.105.245.*8.12.2012 0:04
Veľmi,veľmi pekné a podarené :) Asi by som sa dal nachytať, len je mi trošku podivný fakt, že nájdené výsledky pri rovnakých písmenách zasebou sú rozdielne :) napr. "aaa" nájde 96x a "aaaa" nájde 196x, čo je v skutku zaujímavé, ale o to tu nejde, je to zaujímavé riešenie :)
.cCuMiNn. | E-mail | Website | PGP7.12.2012 19:50
frenegashi: jj, toto uz psali i v diskuzi na blogu, kde tento PoC vysel. Da se tochopit, protoze kod ukazky by mel byt co mozna nejsrozumitelnejsi. Na druhou stranu si tak zanaset XSS na domenu, neni pro autora opravdu nejstastnejsi reseni.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.

Stránky: 1 2 3