loathsome Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 (endret) Hei, Jeg er en aktiv webprogrammerer, og har sett litt på diverse Piczo-sider. Har nylig funnet et STORT hull i Piczos gjestebøker som gjør at jeg kan ta over ALLE gjestebøkene på en gang og videresende de til f. eks min egen side eller lignende. Har opprettet en Piczo-side for å teste, og jeg og en venn kan bekrefte at dette er seriøst. Jeg prøvde å rapportere til Piczo om dette -- for 2 uker siden. Hva tror du jeg fikk til svar? Jeg fikk et helvetes brev med en lang EULA-faen og at de ikke NØLTE å sette til verks "de midler som trengs" om jeg utnytta dette blabla. Hullet er fortsatt ikke tettet. 1) Dere som på død og liv MÅ bruke Piczo; Ikke bruk gjestebøkene. (comment board eller hva det heter går greit, tror jeg) 2) Hva skal jeg gjøre med dette? Må inrømme det frister å sende alle tusen piczobrukere til m3@tspin eller noe INGEN PM, INGEN SPØRSMÅL OM HVORDAN MAN SKAL UTNYTTE DETTE HULLET. JEG VIL ALDRI GI FRA MEG DENNE INFORMASJONEN loathsome+ Endret 16. mars 2007 av loathsome Lenke til kommentar
Gjest medlem-77217 Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 Det var jo bare et spørsmål om tid før det skjedde. Lenke til kommentar
lefsaker Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 Det fins jo et script som sletter alle postene i shoutboxen også da Ingen link fra meg heller, bare opplysning. Lenke til kommentar
Bruker-33331 Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 (endret) Jeg har visst om dette lenge edit: slette gjestebøker også. Endret 16. mars 2007 av Bundy Lenke til kommentar
ⅵdar Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 Hvem bryr seg. Det er jo bare fjortissider som blir rammet av dette uansett. Men for all del: La pølsa snurre. Lenke til kommentar
Runar Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 Må inrømme det frister å sende alle tusen piczobrukere til m3@tspin eller noe 8167512[/snapback] Haha, genial idé! Men om de som står bak Piczo hadde satt i gang "de midler som trengs", ville de ikke kunne ta deg for noe. Du har jo ikke utnyttet det. Lenke til kommentar
Anders Moen Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 (endret) Haha! Endelig Har lyst til å finne ut hvordan, men dere vil ikke si hvordan, så det kan jeg nok bare glemme =( Selvfølgelig ville jeg brukt det på min egen side, altså lagd en testside for å teste det her. Endret 16. mars 2007 av Andy-Pandy Lenke til kommentar
Matsemann Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 Må inrømme det frister å sende alle tusen piczobrukere til m3@tspin eller noe 8167512[/snapback] Haha, genial idé! Men om de som står bak Piczo hadde satt i gang "de midler som trengs", ville de ikke kunne ta deg for noe. Du har jo ikke utnyttet det. 8168247[/snapback] Det er nok eneste måten for Piczo-brukerne å få opp øynene. Har hørt om det en stund, men er det virkelig ingen ennå som har skrevet et script som går igjennom alle gjestebøker og ødelegger dem? Uansett, det er brukerne det rammer først, og så lenge det kun skjer noen få tror jeg ikke Piczo bryr seg mye. Lenke til kommentar
Flurry Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 Google 'piczo exploit guestbook', første treff. = ) Lenke til kommentar
Dahl Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 (endret) JS-exploitene er vel egentlig ikke akkurat noen nyhet. Jeg har iallefall visst om flere av de siden i høst. Det hele kommer av at Piczo ikke har noen verifisering på serversiden. Kan du navnet på JS-funksjonene, noe som er svært enkelt å finne ut, så kan du endre mye. Har du et minimum av kunnskaper er det ikke noe problem å lage et enkelt skript som sletter samtlige kommentarer fra samtlige Piczo-sider, for å bare nevne en av de mulige exploitene... ...Men, hvor spennende er det å deface bling-bling-gjestebøker? Endret 16. mars 2007 av Dahl Lenke til kommentar
loathsome Skrevet 16. mars 2007 Forfatter Del Skrevet 16. mars 2007 (endret) Exploiten jeg har funnet er ikke denne som gjør at man kan slette et og et gjestebokinnlegg, men legge til en html/javscript kode i absolutt hver eneste gjestebok på hele serveren med et par klikk. Jeg HAR testet dette (la inn en html kommentar), og det går altfor bra. Finner bare andre "ufarlige" exploiter på Google. Jeg kan f. eks sende alle brukere til en fake innloggingsside, mekke min egen reklame og tjene heaps med penger etc. Jeg mener, jeg blir jo ikke tatt om jeg gjør alt via proxy - eller bedre; skolen? Ikke det at jeg kommer, teoretisk sett bare .. Endret 16. mars 2007 av loathsome Lenke til kommentar
Dustwave Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 bare for å være ond og få en viss tilfredstillelse og bragge til fjortisene at du er en leet script-kiddie ellers er det bare å følge med på diverse sikkerhetsforaer Lenke til kommentar
Dustwave Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 btw så er exploiten din relativ gammel den og.. den har blitt brukt på piczo ved en rekke anledninger før Lenke til kommentar
Anders Moen Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 Exploiten jeg har funnet er ikke denne som gjør at man kan slette et og et gjestebokinnlegg, men legge til en html/javscript kode i absolutt hver eneste gjestebok på hele serveren med et par klikk. Jeg HAR testet dette (la inn en html kommentar), og det går altfor bra. Finner bare andre "ufarlige" exploiter på Google. Jeg kan f. eks sende alle brukere til en fake innloggingsside, mekke min egen reklame og tjene heaps med penger etc. Jeg mener, jeg blir jo ikke tatt om jeg gjør alt via proxy - eller bedre; skolen? Ikke det at jeg kommer, teoretisk sett bare .. 8170196[/snapback] Haha, det er nice da! Lurer på hvordan jeg Lenke til kommentar
Lightning- Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 Haha, det her var jo litt gøy Lenke til kommentar
Kadmium Skrevet 16. mars 2007 Del Skrevet 16. mars 2007 Exploiten jeg har funnet er ikke denne som gjør at man kan slette et og et gjestebokinnlegg, men legge til en html/javscript kode i absolutt hver eneste gjestebok på hele serveren med et par klikk. Jeg HAR testet dette (la inn en html kommentar), og det går altfor bra. Finner bare andre "ufarlige" exploiter på Google. Jeg kan f. eks sende alle brukere til en fake innloggingsside, mekke min egen reklame og tjene heaps med penger etc. Jeg mener, jeg blir jo ikke tatt om jeg gjør alt via proxy - eller bedre; skolen? Ikke det at jeg kommer, teoretisk sett bare .. 8170196[/snapback] Haha, det er nice da! Lurer på hvordan jeg 8170341[/snapback] Det står noe om det på HellboundHackers, så vidt jeg vet. Lenke til kommentar
loathsome Skrevet 17. mars 2007 Forfatter Del Skrevet 17. mars 2007 INGEN (så vidt jeg vet) har funnet denne exploiten jeg har. Jeg kan skrive et par linjer, og så få hver ENESTE SIDE (gjestebøker, comment board) til å kjøre f. eks et ondsinnet javascript. Lenke til kommentar
Dahl Skrevet 17. mars 2007 Del Skrevet 17. mars 2007 (endret) Vel, da må du tro om igjen - jeg har vært kjent med sikkerhetshull som du beskriver i lang tid. Disse sikkerhetshullene er alle relatert til det samme: Manglende brukerverifisering på serversiden og manglende fjerning av skript. Derfor kan Javascript brukes til å endre det meste. Det er blant annet svært enkelt å lage et skript som sletter samtlige kommentarer og gjestebokinnlegg på samtlige Piczo-sider, eller legge inn et skript som sender brukeren videre til en annen side. Merkelig at dette ikke er blitt utnyttet, da det hadde blitt en stor sak hvis alle Piczo-sider førte videre til spionprogrammer (noe som er fullt mulig i dag). Endret 17. mars 2007 av Dahl Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå