Mozektevidi.net website

• home
• rss čtečka
• fotogalerie
• kontakt

To se zase nudíš?

Aneb jak oblbnout linkuj.cz podruhé. Hacking o přestávce před matematikou. Taková pětiminutovka s XSS

Zase, znova, tudíž opakovaně linkuj.cz

Jo linkuj.cz. To je už celá kapitola o linkuj.cz, skoro na novou kategorii

Ano, oblbnul jsem linkuj.cz a dokonce jsem zjistil návštěvnost linkuj.cz umístěním mého měřícího kódu toplist.cz přímo na titulní stránku linkuj.cz. Jak jednoduché.

Přestávka před matematikou

Právě zkončila nudná automatizace a je přestávka. V notebooku je ještě trochu baterie tak vyprávím sousedovi o mé návštěvnosti machruji se svojí návštěvností (přes 1700 /den) a vysvěluji mu primitivní postup, jak a kam jsem umístil měřící kódy aniž by si toho někdo všiml

V tu chvíli mě napadne geniální myšlenka. Původní chyba na linkuj.cz je už opravená, kontroluje se referer a proto nefunguje kód umístěný na cizím webu. Ale proč neumístit kód přímo na linkuj.cz? Úplně stejně, jako jsem umístil měřící kód toplistu, jsem na linkuj.cz umístil http://linkuj.cz/ajax.php?id=addmylink&link_id=xxxxx
Byl trochu problém zjistit link_id, protože článek, ke kterému jsem vkládal škodlivý kód ještě neexistoval v databází a tudíž neměl svoje ID. Šel jsem tedy na poslední existující ID a jako link_id jsem nastavil max_id++; (php programátoři pochopí, pro ostatní to znamená max_id + 1). Hned jak jsem podvodný link publikoval, mi linkovali dvě oběti. Obětem stačilo pouze navštívit linkuj.cz. Oproti minulelému oblbnutí mi nemuseli ani klikat na odkaz, škodlivý kód byl přímo na linkuj.cz. Když jsem měl během minutky 4 linky, uspal jsem notebook, protože příchází zapomenutá čarodějnice (učitelka matematicky, co ji o svátku neupálili ), která nemá pochopení pro hackování místo derivací.

XSS na linkuj.cz

Uvedené oblbnutí nefungovalo moc dlouho, administrátor linkuj.cz mi škodlivé linky bez jakékoliv reakce smazal. Nijak se nevyjádřil na nově objevenou bezpečnostní chybu, což mě trochu mrzí. Chyba je už nejspíše opravená, což je jedinně dobře. XSS mě začíná docela bavit

Související články
• Po měsíci zase do školy (10. června 07, 07:06)

Diskuze ke článku

Komentáře a diskuze ke článku tady

Vyhledávání na webu

Kategorie článků

• IT (34)
• IT bezpečnost (28)
• Názory (52)
• blog (110)
• filmy (10)
• fotoakce (47)
• krátce (33)
• linux (24)
• recenze (55)
• služby (57)
• sociotechnika (19)
• wifi sítě (4)

Náhodné články

• Sebevrah králík
• Maturitní Ples Šťáralky
• Škoda felicie vs Fiat Uno
• Cesta do Francie
• Austro bohemia.cz jsou amatéři
• Doménoví spekulanti
• Relaxace na Konopáči
• Jak vydělat peníze na internetu?
• Práce na novém redakčním systému
• Letní festival Německo

Poslední články

• Linux je lepší a lepší
• Byl by zájem o subdomény?
• Ubuntu 8 hardy heron AND Lenovo N200
• Lupa přešla na wordpress. Spamy
• Chci vlastní server

Tagy ke stránce

jak zjistit ID jaksi taksi mp3 ke stazeni zdarma jaksi taksi online album ke stažení jaksi taksi online mp3 ke stažení zdarma alba ke stažení jaksi-taksi jaksi taksi album jaksi taksi ruce spojený mp3 ke stažení album jaksi taksi online jaksi taksi jednou mp3 zdarma jaksi taksi alba mp3 jaksi taksi jednou mp3 Stahování alb zdarma jaksi taksi ruce spojené mp3 mp3 ke stazeni on-line mp3 Jaksi Taksi ke stažení

Poslední komentáře

RSS export

• RSS [články]
• RSS [komentáře]

---