Živě.cz hacknuto pomocí XSS

Ľudia sa nudia, ale klobúk dolu pred ním.

o administracnom rozhrani viem uz davno, klasicky pripad ked server pri nejakej chybe vypisuje error hlasky ako http odpoved a uzivatel sa dozvie aj to co nema. preto je vzdy dobre v ramci bezpecnosti si chyby spracovavat na strane serveru(ako to mame napr. u nas na poradni) a uzivatelovi posielat len vhodne informacie. co sa tyka samotneho XSS utoku, tak je to podobny princip(vsetky su na jedno kopyto ), ako som popisoval vo svojej hadanke cislo 5. mne sa takymto sposobom podarilo ukradnut cookie uzivatelom hackthissite.org a nasledne som nato upozornil adminov HTS, ale tam to maju riesene dobre. samotne cookie ti ukradnut nepomoze, pretoze sa cookie hash sklada z hesla + salt z IP, cize pokial niekto nejde cez nejake verejne proxy, je ti to naprd. sice blahozelam autorovi hacku, ale tento hack nepovazujem za nicim vynimocny. ako ma vyzerat skutocny hack a genialny white hacker si mozte precitat tu: 9.
btw., ja s losom vieme aj o inom sposobe XSS hacku, ktory sa da na zive pouzit.

Tak to musel byť iný frajer.

Keď som si dneska čítal novinky na stránke Microsoft rozmýšľal som nad tým, prečo ešte nikto ne-hackol Microsoft stránku? Či už hackli?

jj, je(su) dobry(i). posledne(asi pred tyzdnom) ich hackol(i) znovu, aj ked teraz sa to neda povazovat za skutocny hack zone-h.org portalu. hackol(i) ich providera a zmenil(i) len DNS zaznamy(!!!). tu je screen z posledneho hacku na zone-h portal:

co sa tyka Micorsoftu, tak co sa ja zaoberam white hackingom(zhruba 2 roky), tak neviem o ziadnom defacemente ich stranok. maju to najskor zabezpecene velmi dobre. bezpecnost je predovsetkym vzdy o ludoch.
btw., na strankach sk.zone-h.org a zone-h.org si mozes pozriet najnovsie hacky a zranitelnosti. su to tie pohyblive pruhy na vrchu.

Živě má vážne problémy s bezpečnosťou už dlhšiu dobu. Jedna chyba byla již odstraněna, ak opravia túto, tak to bude o niečo málo lepšie. Stopercentné to však ešte nebude.

Navyše im tam nefunguje už ani normálne vkladanie príspevkov. Snáď sa to zlepší prechodom na nový systém, ktorý údajne plánujú už dosť dlho.

Aktualizace 12:00: ze serveru Žive.cz byl příspěvek odstraněn úplně

no celkom este odstraneny nebol, funguje este diskusia v textovej verzii: http://www.zive.cz/!textove_diskuse/F.asp?ARI=13299 5&CAI=2097&HID=19

Áno, vďaka ďalšej chybe systému na Živě sa dá ďalej diskutovať, a to nielen v textovej verzii: f.asp

tazko povedat, ci je toto zrovna chyba. mozno maju moznost oddelene mazat clanok, diskusiu alebo komplet diskusiu aj s clankom kvoli nejakej spatnej vazbe. a prislusny redaktor vyuzil len prvu moznost. aj ked je to len moj predpoklad, toto ako chybu moc nepovazujem.

Jasné, this behavior is by design .

tak. s tymto sa clovek stretava casto.
//edit: ja som len zvedavy, ako sa oficialne ku tomu white hack-u zive postavi.

toto je tiez dobre: AR.asp
bohvie kto ma v tom prsty, ci redakcia zive alebo nejaky novy admin.

tu je textova zaloha. to je ozaj vsetko.

Schopný FTP klient se bez plánování neobejde
28. 01. 2007, Vlastimil Waic formát pro tisk

Další aktuality:
Nejúžasnější kabria všech dob, dnes
Konkurz: Živě.cz hledá externí redaktory, dnes
Ptejte se: Jana Ježka na Kerio WinRoute Firewall, dnes

Čo som si čítal práve komentáre k hacku Živě, tak jeden som musel odpísať, lebo tak som sa pobavil ako nik :

<user> Mam novej job
<muhehe> jakej?
<user> delam admina
<muhehe> a kolik ti platej
<user> zatim nic, voni vo tom este nevedej

Hesla k účtům byla uložena v plaintextu

Zabit ich je malo. Este dobre ze som tam pouzil len moje naj-"weak" heslo. Ako mozu taki amateri vobec si dovolit pisat nieco o pocitacoch Tak potom vyzeraju aj vsetky tie casopisy. Kopa kydov od bandy amaterov.

Ako sa da na zive zrusit konto?

poslali mi zprávu z: registrace z cpress.cz