dolezite upozornenie - hack na zive.cz!

pretoze sa niekomu podarilo prelomit engine zive a dokaze vkladat script tag do threadov, ak ste na zive zaregistrovani, odporucam zakazat cookie na zive, chodit tam neprihlaseni, alebo zakazat javascript skor ako tam vojdete.

za poradna.net

IgorK

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
... tak jsem se chtěl podělit s aktuální zprávičkou, ale koukám, zase pozdě 3-[:-). Jack 12.08.2006 22:58	Jack	12.08.2006 22:58
no este sa bude asi dat o com pisat. niekto vymazal z threadu javascript alert ale thread ostal. pre… IgorK 12.08.2006 23:08	IgorK	12.08.2006 23:08
Jestli měl nalíčený cookie stealer, mohl čapnout heslo M.L.. A jestli má stejné heslo i pro ftp (jak… Rce 12.08.2006 23:19	Rce	12.08.2006 23:19
ked ukradnes cookie nepotrebujes heslo. z cookie na zive tak ci tak heslo len tak tak lahko nezistis… IgorK 12.08.2006 23:24	IgorK	12.08.2006 23:24
Když se mu tam podařilo nacpat javu, mohl odchytit heslo přímo při zadávání. //Edit: Heslo bude MD5… Rce 12.08.2006 23:27	Rce	12.08.2006 23:27
ak dokaze modifikovat kod aj na serveri(nie len vkladat javascript cez formular), tak ano. //edit: v… IgorK 12.08.2006 23:30	IgorK	12.08.2006 23:30
Obávám se, že dokáže. Heslo M.L. bylo změněno a ten alert v javascriptu nebyl zakomentovaný ale zmiz… Rce 12.08.2006 23:38	Rce	12.08.2006 23:38
a nebo je to uplně jinak: Kuneš má v ruce pivko, Lutonský drží v jedné ruce slečnu a v druhé skleni… AZOR 12.08.2006 23:56	AZOR	12.08.2006 23:56
aj nad tym som rozmyslal, ze budu pod nejakymi sedativami alebo inymi omamnymi latkami. :-D:beer: IgorK 12.08.2006 23:57	IgorK	12.08.2006 23:57
Případně se osoba, jejíž jméno nemůže být vysloveno (doposud se chovající nepřiměřeně svému věku) kr… Dale Cooper 13.08.2006 00:12	Dale Cooper	13.08.2006 00:12
To byl ten druhý, ten zlý. Warezááá se myslím jmenuje. nový Kráťa 13.08.2006 01:02	Kráťa	13.08.2006 01:02
AR.asp , ale trvalo to. :) nový rrr 16.08.2006 16:28	rrr	16.08.2006 16:28
IMHO opravili prd. Lochnu jak řemen tam mají furt. Dotyčný hacker má zcela určitě admin přístup, ne… poslední Rce 17.08.2006 00:03	Rce	17.08.2006 00:03

... tak jsem se chtěl podělit s aktuální zprávičkou, ale koukám, zase pozdě .

no este sa bude asi dat o com pisat. niekto vymazal z threadu javascript alert ale thread ostal. predpokladam, ze to bol autor a bud ma teda moderatorsky alebo administratorsky pristup.

Jestli měl nalíčený cookie stealer, mohl čapnout heslo M.L.. A jestli má stejné heslo i pro ftp (jakože to bývá u lidí obvyklé, leč nebezpečné), tak si mohl narvat do kódu nějaká zadní vrátka a je Živě jeho.

ked ukradnes cookie nepotrebujes heslo. z cookie na zive tak ci tak heslo len tak tak lahko nezistis. musel by si pouzit reverse engineering. ma najskor ale jeho cookie a tym aj jeho prava.

Když se mu tam podařilo nacpat javu, mohl odchytit heslo přímo při zadávání.
//Edit: Heslo bude MD5 a když nebude obsahovat čísla a spejšl znaky, tak ho při troše štěstí brutal útokem mohl zjistit taky.

ak dokaze modifikovat kod aj na serveri(nie len vkladat javascript cez formular), tak ano.
//edit: v podstate, ked dokazal vymazat script tag z kodu, tak to vlastne dokaze.

Obávám se, že dokáže. Heslo M.L. bylo změněno a ten alert v javascriptu nebyl zakomentovaný ale zmizel.
//Edit: Tak jsme se shodli

a nebo je to uplně jinak:

Kuneš má v ruce pivko, Lutonský drží v jedné ruce slečnu a v druhé skleničku vína, oba usměv od ucha k uchu, už to slyšim:
"Hele, ty vole, jak nám to žerou..."

aj nad tym som rozmyslal, ze budu pod nejakymi sedativami alebo inymi omamnymi latkami.

Případně se osoba, jejíž jméno nemůže být vysloveno (doposud se chovající nepřiměřeně svému věku) královsky baví. I když tato varianta se jeví jako méně pravděpodobná...

To byl ten druhý, ten zlý. Warezááá se myslím jmenuje.

AR.asp , ale trvalo to. :)

IMHO opravili prd. Lochnu jak řemen tam mají furt. Dotyčný hacker má zcela určitě admin přístup, ne že, ne (možná dokonce do celého serveru).
Jestli mě skleróza neplete, tak nejmíň před rokem tam Igor upozorňoval (snad i redakci Big Brothera), že lze v klidu loupit cookies. Inu, nechávalo je to v božském poklidu .

Zpět do poradny Odpovědět na původní otázku Nahoru