To se zase nudíš? Mozektevidi.net - Píše Olda Šálek.

Navigace:Mozektevidi.netIT bezpečnost ⇒ To se zase nudíš?

To se zase nudíš?

Aneb jak oblbnout linkuj.cz podruhé. Hacking o přestávce před matematikou. Taková pětiminutovka s XSS
jaksi taksi-mp3 ke stažení, celá alba jaksi taksi, mP3 žalman, jaksi taksi ke stazeni alba, jaksi taksi jednou-mp3 ke stažení zdarma, jaksi taksi jednou ke stažení zdarma, Jaksi Taksi alba ke stažení, jaksi taksi jednou download, jaksi taksi spatny dny mp3, jaksi taksi jednou mp3 download,

Zase, znova, tudíž opakovaně linkuj.cz

Jo linkuj.cz. To je už celá kapitola o linkuj.cz, skoro na novou kategorii Pohoda

Ano, oblbnul jsem linkuj.cz a dokonce jsem zjistil návštěvnost linkuj.cz umístěním mého měřícího kódu toplist.cz přímo na titulní stránku linkuj.cz. Jak jednoduché.

Přestávka před matematikou

Právě skončila nudná automatizace a je přestávka. V notebooku je ještě trochu baterie tak vyprávím sousedovi o mé návštěvnosti machruji se svojí návštěvností (přes 1700 /den) a vysvěluji mu primitivní postup, jak a kam jsem umístil měřící kódy aniž by si toho někdo všiml Machr

V tu chvíli mě napadne geniální myšlenka. Původní chyba na linkuj.cz je už opravená, kontroluje se referer a proto nefunguje kód umístěný na cizím webu. Ale proč neumístit kód přímo na linkuj.cz? Úplně stejně, jako jsem umístil měřící kód toplistu, jsem na linkuj.cz umístil http://linkuj.cz/ajax.php?id=addmylink&link_id=xxxxx
Byl trochu problém zjistit link_id, protože článek, ke kterému jsem vkládal škodlivý kód ještě neexistoval v databází a tudíž neměl svoje ID. Šel jsem tedy na poslední existující ID a jako link_id jsem nastavil max_id++; (php programátoři pochopí, pro ostatní to znamená max_id + 1). Hned jak jsem podvodný link publikoval, mi linkovali dvě oběti. Obětem stačilo pouze navštívit linkuj.cz. Oproti minulelému oblbnutí mi nemuseli ani klikat na odkaz, škodlivý kód byl přímo na linkuj.cz. Když jsem měl během minutky 4 linky, uspal jsem notebook, protože příchází zapomenutá čarodějnice (učitelka matematicky, co ji o svátku neupálili Pohoda ), která nemá pochopení pro hackování místo derivací.

XSS na linkuj.cz

Uvedené oblbnutí nefungovalo moc dlouho, administrátor linkuj.cz mi škodlivé linky bez jakékoliv reakce smazal. Nijak se nevyjádřil na nově objevenou bezpečnostní chybu, což mě trochu mrzí. Chyba je už nejspíše opravená, což je jedinně dobře. XSS mě začíná docela bavit Machr

autor Oldřich Šálek | cal 2.5.2007 | články o IT bezpečnosti a obraně proti hackingu IT bezpečnost |

Kometáře


Komentáře a diskuze ke článku tady
diskuze ke článku

Související články

travian hack download Windows mobile ke stazeni zdarma php v obrázku jak ozvučit rtl8139d driver jak vypada linux indexovámí stránky badoo jsou podvodníci internet centrum forpsi doména nahota na prodej rapidshare