Gå til innhold

Uønsket besøk på Diskusjon.no


Anbefalte innlegg

Videoannonse
Annonse
Gjest Slettet+56132
Tror nokk passord polecyen er bra nokk her, bare det at noen folk har så lite å gjøre, så de leser fremmedordbøker på all verdens språk for å kunne hacke diskusjon.no

Thats what i call "No lifers"  :yes:

7205769[/snapback]

Bare å endre språket til engelsk i bunnen kanskje? :tease:

Lenke til kommentar
Tror nokk passord polecyen er bra nokk her, bare det at noen folk har så lite å gjøre, så de leser fremmedordbøker på all verdens språk for å kunne hacke diskusjon.no

Thats what i call "No lifers"  :yes:

7205769[/snapback]

Bare å endre språket til engelsk i bunnen kanskje? :tease:

7207895[/snapback]

Hva har fremmedordbøker med saken å gjøre uansett?

Lenke til kommentar
En stor honnør til driftsstaben for rask respons.

 

Og litt pepper til utviklere av Invision Power Board for "slurvete" kodekvalitet. SQL-injections er faktisk mulig å sikre seg mot ved å følge noen generelle prinsipper i koding.

 

En interessant podcast for de som vil se prinsippene bak SQL-injections vist i praksis. Gjelder et annen PHP/MySQL basert OpenSource løsning (TYPO3), men eksemplet er illustrende, og viser hvor enkelt det er å utnytte SQL-injections.

 

Viser også at følsomme opplysninger aldri (og jeg mener aldri) må oppbevares i klartekst i databaser.

 

Faren med å få ut hashverdier av passord er at det finnes tabeller for å løse disse, blant annet for MD5 hash (noe som forenkler "bruteforce"). Har du hashverdi, brukernavn og epost, så er det fullt mulig å bruke dette som utgangspunkt for å komme seg inn på andre nettsteder som brukeren frekventerer (ved prøve/feile metode).

 

Det finnes sikrere algoritmer enn MD5.

7203775[/snapback]

Jeg trodde MD5 var en hash verdi som har kjempestort tap av data. En verdi som kun kan benyttes til å gjenkjenne om f.eks. filen du brukte det på har er inntakt og uendret når du lager ny MD5 streng av filen.

 

Hvilken bruk av MD5 er det du snakker om, og kunne du forklare litt?

Lenke til kommentar
Til de som lurer på hvorfor og hvem som cracket forumet så er det vel vanskelig å vite akkurat hvem det er... men det er ikke vanskelig å tenke seg til at personen som gjorde dette ikke har noe med Norge eller hw-nettverket å gjøre ettersom han kom fra bigboards.com, en side med oversikt over forum og info om disse... han satt sikkert bare å finkjemte listene (som det forøvrig står i artikkelen) og fant ut hvilke forum som hadde rett versjon av IPB... Hensikten er vel sikkert å spre reklame for en nettside, siden det var dette som ble gjort, samt å muligens snappe til seg noen hundre nye epost addresser å spamme.. ikke vet jeg, men kan tenke meg til noe sånt.

Heldigvis så ser det ut til at denne karen ikke var noe über-hacker-nerd siden han brukte et "ferdiglaget script" (noe som forøvrig "alle" kan få til), som igjen gjør sjangsen stor for å finne ut hvilken land/isp/maskin/person dette var..

7204005[/snapback]

Det finnes vel kanskje mer effektive metoder å samle e-post adresser på enn dette her. En har jo disse ekle kjedebrevene som uvitende folk biter på. Så har du raskt både deg selv, familie og venner hengende på som en hestehale på den videresendte e-posten.

 

Har selv blitt offer for et slikt brev, og det uten at jeg selv har videresendt kjedebrevet. SPAM'en økte betraktelig etterpå. :mad:

Det er nok at noen andre sender deg kjedebrevet, fordi da skrive de jo inn e-posten din sammen med alle de andre mottakerene av brevet. Det er vel ikke så vanskelig å skaffe seg kopier for SPAM'eren da.

 

Skulle inntrengeren til Diskusjon.no lete fram en og en e-post adresse da? For et nitidig arbeide. :ohmy:

Lenke til kommentar

Jeg er glad for at dere er så åpne om hva som har skjedd og forteller om det så detaljert. Nå har dere jo et teknisk interessert publikum, så det er jo ganske bra å få servert slike forklaringer. :)

 

Men når det gjelder selve problemet kan jeg ikke si annet enn at dette er ekstremt slett programmering. Jeg er klar over at det ikke er Hardware.no sin feil, men SQL injections er noe det for det første er svært enkelt å beskytte seg mot og for det andre noe alle webutviklere burde være fryktelig godt klar over at man må gjøre noe med. I PHP mot MySQL er metoden man bør bruke mysqli_prepare:

 

Jeg kan forøvrig varmt anbefale Innocent Code av Sverre Huseby til alle som driver med webutvikling. Dette er en bok Hardware.no kanskje bør kjøpe og sende til Invision Board-gutta. ;)

Endret av asbjornu
Lenke til kommentar
Nok et bevis på at åpen kildekode er skummelt, må det gå liv tapt før de stenger denne livsfarlige kildekoden, jeg bare lurer?

7204074[/snapback]

 

Invision Power Board er ikke åpen kildekode. Du motbeviste nettopp din egen påstand. :)

7204579[/snapback]

:!:

 

Har opplevd at såkalte lukkede php-løsninger har minst like svære hull. Så lenge php-forespørslene kommer klart ut i URLen har crackere verktøy for å teste seg frem til hva som funker, har til og med sett egne web-sider for dette.

 

Skrekkeksempelet er en frekk

include ($jalla.".php");

der variabelen ikke blir sjekket for noe som helst. Litt annen type svakhet enn SQL-injection, men viser at lukket ikke nødvendigvis er mye sikrere.

 

 

OT: Godt jobba av tech, alltid interessant å lese om slikt.

Lenke til kommentar

Jeg trodde MD5 var en hash verdi som har kjempestort tap av data. En verdi som kun kan benyttes til å gjenkjenne om f.eks. filen du brukte det på har er inntakt og uendret når du lager ny MD5 streng av filen.

 

Hvilken bruk av MD5 er det du snakker om, og kunne du forklare litt?

7208694[/snapback]

Det fungerer på enkle passord-strenger i de aller, aller fleste tilfellene. Det er når man skal sammenlikne store filer at samme hash kan komme fra to forskjellige kilder.

 

Jeg er usikker på at om jeg forstår hva du mener med "hvilken bruk av MD5" :hmm:

Lenke til kommentar

hvilken glede har "crackere" av å ødelegge på denne måten? hva oppnår di? får di ett hysterisk latteranfall? eller får di orgasme? eller liker di spenningen av å vite at noen jakter på dem, og at noen ønsker dem død og begravet?

 

Skjønner ikke hva folk oppnår med dette, og skulle gjerne likt å vite dette... jævla duster.

Lenke til kommentar
Cracket? Mulig jeg surrer men blir det ikke hacket?

Se vår ordbok: Cracker og Hacker.

7203372[/snapback]

Hva med en som hacker seg inn på datasystemer og ikke forårsaker skade da?

7224048[/snapback]

Whitehat cracker.

7224287[/snapback]

Det finnes ikke. Det heter Whitehat hacker. http://en.wikipedia.org/wiki/Hacker_%28com...%29#Terminology

 

Etter min mening er definisjonen til hardware på hacker og cracker feil. Dvd-Jon er en cracker, men (såvidt vi vet) ingen hacker. Den som jeg linket til på wikipedia er riktig

Lenke til kommentar
hvilken glede har "crackere" av å ødelegge på denne måten? hva oppnår di? får di ett hysterisk latteranfall? eller får di orgasme? eller liker di spenningen av å vite at noen jakter på dem, og at noen ønsker dem død og begravet?

 

Skjønner ikke hva folk oppnår med dette, og skulle gjerne likt å vite dette... jævla duster.

7223722[/snapback]

 

Det er vel forskjellig fra person til person tenker jeg. Noen gjør det kanskje for de grunnene du oppgir. Noen gjør det for å vise at et system har svakheter, noen gjør det p.g.a spenningen og noen gjør det vel også som her på hw.no, for å profitere på det. Noen har ofte også et mindreverdighetskompleks, og gjør det fordi de da føler de har kontroll og makt. Patetisk, men synes litt synd på dem egentlig. Husker jeg så en utveksling på nettet mellom en hacker/cracker og de han hadde hacket, han virket som en veldig aggressiv og usikker person, var frekk i kjeften og stilte latterlige ultimatumer som "Si unnskyld for at dere kalte meg en scriptkiddie ellers skjer det igjen og blabla).

Lenke til kommentar
hvilken glede har "crackere" av å ødelegge på denne måten? hva oppnår di? får di ett hysterisk latteranfall? eller får di orgasme? eller liker di spenningen av å vite at noen jakter på dem, og at noen ønsker dem død og begravet?

 

Skjønner ikke hva folk oppnår med dette, og skulle gjerne likt å vite dette... jævla duster.

7223722[/snapback]

Jeg tror det har noe å gjøre med spenning. Er jo alltid litt spennende å være på steder man ikke skal ha tilgang til. På internett er det ganske mye lettere og veldig mye tryggere enn i virkeligheten. Og så lenge man er der bare for å være der er det vel helt greit. Hvis man ikke ødelegger eller forandrer noe, er det vel helt greit.

 

Litt av greia, er at det er så forferdelig lett. Testet noe lignende en gang på elderscrolls.com(diskusjon.no var også sårbar :no: ) og kom inn på et blunk. Ble veldig overrasket, siden jeg ikke trodde det ville funke. Jeg logget meg av med en gang. Har aldri vært prøvd det siden.

Endret av Kris R
Lenke til kommentar
Hvis de vil hijacke kontoen min får de bare sette igang, har ikke akurat statshemmligheter lagret her. Oppfordring til å bytte passord mener jeg skaper overdreven frykt :)

7205965[/snapback]

 

Neida, du har kansje ikke statshemmeligheter, men sett at noen hijacka kontoen din og satte opp et script, event 100 underbetalte kinesere i en hall til å bytte ut alle postene dine med reklamespam. For det er nemlig fullt mulig her på dette forumet, siden postene ikke låses etter en viss tid. Jaja, så har bare du i høgget av 800 poster. Hva om de fikk tak i en av de kontoene med 10k+ poster på? For det første ville det tatt evigheter å fjerne alt sammen, for om man som angriper begynner med de eldste postene vil ikke noe oppdages på lang tid. Alt som skjer er at søkemotorene får noe nytt å lese på slik at jævlene som gjør det potensielt tjener penger.

 

hvilken glede har "crackere" av å ødelegge på denne måten? hva oppnår di? får di ett hysterisk latteranfall? eller får di orgasme? eller liker di spenningen av å vite at noen jakter på dem, og at noen ønsker dem død og begravet?

 

Skjønner ikke hva folk oppnår med dette, og skulle gjerne likt å vite dette... jævla duster.

7223722[/snapback]

En gang i tiden var dette snakk om spenning og interne stridigheter, feks hvem som klarte å ta knekken på flest mulig. Nå, vel, det handler mest om penger.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...