Přidat aktualitu mezi oblíbenéZasílat nové komentáře e-mailem Živě.cz hacknuto pomocí XSS

Živě.cz hacknuto pomocí XSSCituji autora:

Podařilo se mi získat uživatelská hesla k administračnímu rozhraní webzinu Živě.cz, které slouží ke správě článku, diskusí, anket a dalších věcí. K celému útoku jsem použil pouze XSS zranitelností nacházejících se na dvou místech.

Stručné shrnutí:Útočníkovi se podařilo pomocí XSS (Cross-site scripting) zjistit uživatelská jména pro administrátorské rozhraní. Hesla k účtům byla uložena v plaintextu, takže mohl zjistit přihlašovací informace jakéhokoliv oprávněného uživatele.
Nakonec vložil na titulní stranu Živě.cz článek s postupem, jak popsané informace získal.Obrázek titulní stránky s článkem:
[zivesc2.png]Aktualizace 9:30: ze serveru Žive.cz byl odstraněn obsah a zůstává pouze titulek
Aktualizace 12:00: ze serveru Žive.cz byl příspěvek odstraněn úplně
Aktualizace 19:37: reakce redakce ŽivěLink na zdroj byl odstraněn na žádost Shai Magal (JaFi)

Zdroj: Blog autora hacku
Předmět Autor Datum
Ľudia sa nudia, ale klobúk dolu pred ním.
Len tak 28.01.2007 09:51
Len tak
o administracnom rozhrani viem uz davno, klasicky pripad ked server pri nejakej chybe vypisuje error…
IgorK 28.01.2007 10:43
IgorK
Tak to musel byť iný frajer. Keď som si dneska čítal novinky na stránke Microsoft rozmýšľal som nad…
Len tak 28.01.2007 10:46
Len tak
jj, je(su) dobry(i). posledne(asi pred tyzdnom) ich hackol(i) znovu, aj ked teraz sa to neda povazov…
IgorK 28.01.2007 11:07
IgorK
Živě má vážne problémy s bezpečnosťou už dlhšiu dobu. Jedna chyba byla již odstraněna, ak opravia tú…
los 28.01.2007 11:21
los
Aktualizace 12:00: ze serveru Žive.cz byl příspěvek odstraněn úplně no celkom este odstraneny nebol…
IgorK 28.01.2007 12:53
IgorK
Áno, vďaka ďalšej chybe systému na Živě sa dá ďalej diskutovať, a to nielen v textovej verzii: f.asp
los 28.01.2007 13:05
los
tazko povedat, ci je toto zrovna chyba. mozno maju moznost oddelene mazat clanok, diskusiu alebo kom…
IgorK 28.01.2007 13:26
IgorK
Jasné, this behavior is by design :-D.
los 28.01.2007 13:35
los
tak. s tymto sa clovek stretava casto. :-p //edit: ja som len zvedavy, ako sa oficialne ku tomu whit…
IgorK 28.01.2007 13:42
IgorK
toto je tiez dobre: AR.asp bohvie kto ma v tom prsty, ci redakcia zive alebo nejaky novy admin. tu…
IgorK 28.01.2007 14:27
IgorK
Čo som si čítal práve komentáre k hacku Živě, tak jeden som musel odpísať, lebo tak som sa pobavil a…
Len tak 28.01.2007 14:22
Len tak
Hesla k účtům byla uložena v plaintextu Zabit ich je malo. Este dobre ze som tam pouzil len moje na…
MM.. 29.01.2007 02:17
MM..
poslali mi zprávu z: registrace z cpress.cz poslední
lední brtník 29.01.2007 23:31
lední brtník

o administracnom rozhrani viem uz davno, klasicky pripad ked server pri nejakej chybe vypisuje error hlasky ako http odpoved a uzivatel sa dozvie aj to co nema. :-) preto je vzdy dobre v ramci bezpecnosti si chyby spracovavat na strane serveru(ako to mame napr. u nas na poradni) a uzivatelovi posielat len vhodne informacie. co sa tyka samotneho XSS utoku, tak je to podobny princip(vsetky su na jedno kopyto ]:)), ako som popisoval vo svojej hadanke cislo 5. mne sa takymto sposobom podarilo ukradnut cookie uzivatelom hackthissite.org a nasledne som nato upozornil adminov HTS, ale tam to maju riesene dobre. samotne cookie ti ukradnut nepomoze, pretoze sa cookie hash sklada z hesla + salt z IP, cize pokial niekto nejde cez nejake verejne proxy, je ti to naprd. ;-) sice blahozelam autorovi hacku, ale tento hack nepovazujem za nicim vynimocny. ako ma vyzerat skutocny hack a genialny white hacker si mozte precitat tu: 9.
btw., ja s losom vieme aj o inom sposobe XSS hacku, ktory sa da na zive pouzit. ;-)

jj, je(su) dobry(i). posledne(asi pred tyzdnom) ich hackol(i) znovu, aj ked teraz sa to neda povazovat za skutocny hack zone-h.org portalu. hackol(i) ich providera a zmenil(i) len DNS zaznamy(!!!). :-p tu je screen z posledneho hacku na zone-h portal:
[http://img251.imageshack.us/img251/2176/hackedbydev ilhackerunixee7.th.png]
co sa tyka Micorsoftu, tak co sa ja zaoberam white hackingom(zhruba 2 roky), tak neviem o ziadnom defacemente ich stranok. maju to najskor zabezpecene velmi dobre. bezpecnost je predovsetkym vzdy o ludoch.
btw., na strankach sk.zone-h.org a zone-h.org si mozes pozriet najnovsie hacky a zranitelnosti. su to tie pohyblive pruhy na vrchu. 8-)

tazko povedat, ci je toto zrovna chyba. mozno maju moznost oddelene mazat clanok, diskusiu alebo komplet diskusiu aj s clankom kvoli nejakej spatnej vazbe. a prislusny redaktor vyuzil len prvu moznost. aj ked je to len moj predpoklad, toto ako chybu moc nepovazujem.

toto je tiez dobre: AR.asp
bohvie kto ma v tom prsty, ci redakcia zive alebo nejaky novy admin.

tu je textova zaloha. to je ozaj vsetko.

Schopný FTP klient se bez plánování neobejde
28. 01. 2007, Vlastimil Waic formát pro tisk

Další aktuality:
Nejúžasnější kabria všech dob, dnes
Konkurz: Živě.cz hledá externí redaktory, dnes
Ptejte se: Jana Ježka na Kerio WinRoute Firewall, dnes

Hesla k účtům byla uložena v plaintextu

Zabit ich je malo. Este dobre ze som tam pouzil len moje naj-"weak" heslo. Ako mozu taki amateri vobec si dovolit pisat nieco o pocitacoch :-? Tak potom vyzeraju aj vsetky tie casopisy. Kopa kydov od bandy amaterov.

Ako sa da na zive zrusit konto? :-)

Zpět na aktuality Přidat komentář k aktualitě Nahoru