Gå til innhold

Stor Piczo-exploit funnet.

loathsome

Anbefalte innlegg

loathsome

loathsome

Skrevet
Skrevet (endret)

Hei,

 

Jeg er en aktiv webprogrammerer, og har sett litt på diverse Piczo-sider. Har nylig funnet et STORT hull i Piczos gjestebøker som gjør at jeg kan ta over ALLE gjestebøkene på en gang og videresende de til f. eks min egen side eller lignende. Har opprettet en Piczo-side for å teste, og jeg og en venn kan bekrefte at dette er seriøst.

 

Jeg prøvde å rapportere til Piczo om dette -- for 2 uker siden. Hva tror du jeg fikk til svar? Jeg fikk et helvetes brev med en lang EULA-faen og at de ikke NØLTE å sette til verks "de midler som trengs" om jeg utnytta dette blabla. Hullet er fortsatt ikke tettet.

 

1) Dere som på død og liv MÅ bruke Piczo; Ikke bruk gjestebøkene. (comment board eller hva det heter går greit, tror jeg)

2) Hva skal jeg gjøre med dette?

 

Må inrømme det frister å sende alle tusen piczobrukere til m3@tspin eller noe :tease:

 

INGEN PM, INGEN SPØRSMÅL OM HVORDAN MAN SKAL UTNYTTE DETTE HULLET. JEG VIL ALDRI GI FRA MEG DENNE INFORMASJONEN

 

loathsome+

Endret av loathsome
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Runar

Runar

Skrevet
Skrevet
Må inrømme det frister å sende alle tusen piczobrukere til m3@tspin eller noe :tease:

8167512[/snapback]

Haha, genial idé!

 

Men om de som står bak Piczo hadde satt i gang "de midler som trengs", ville de ikke kunne ta deg for noe. Du har jo ikke utnyttet det.

Lenke til kommentar
Matsemann

Matsemann

Skrevet
Skrevet
Må inrømme det frister å sende alle tusen piczobrukere til m3@tspin eller noe :tease:

8167512[/snapback]

Haha, genial idé!

 

Men om de som står bak Piczo hadde satt i gang "de midler som trengs", ville de ikke kunne ta deg for noe. Du har jo ikke utnyttet det.

8168247[/snapback]

Det er nok eneste måten for Piczo-brukerne å få opp øynene.

Har hørt om det en stund, men er det virkelig ingen ennå som har skrevet et script som går igjennom alle gjestebøker og ødelegger dem? :nei:

 

Uansett, det er brukerne det rammer først, og så lenge det kun skjer noen få tror jeg ikke Piczo bryr seg mye.

Lenke til kommentar
Dahl

Dahl

Skrevet
Skrevet (endret)

JS-exploitene er vel egentlig ikke akkurat noen nyhet. Jeg har iallefall visst om flere av de siden i høst. Det hele kommer av at Piczo ikke har noen verifisering på serversiden. Kan du navnet på JS-funksjonene, noe som er svært enkelt å finne ut, så kan du endre mye. Har du et minimum av kunnskaper er det ikke noe problem å lage et enkelt skript som sletter samtlige kommentarer fra samtlige Piczo-sider, for å bare nevne en av de mulige exploitene...

 

 

...Men, hvor spennende er det å deface bling-bling-gjestebøker? ;)

Endret av Dahl
Lenke til kommentar
loathsome

loathsome

Skrevet
  • Forfatter
Skrevet (endret)

Exploiten jeg har funnet er ikke denne som gjør at man kan slette et og et gjestebokinnlegg, men legge til en html/javscript kode i absolutt hver eneste gjestebok på hele serveren med et par klikk. Jeg HAR testet dette (la inn en html kommentar), og det går altfor bra. Finner bare andre "ufarlige" exploiter på Google.

 

Jeg kan f. eks sende alle brukere til en fake innloggingsside, mekke min egen reklame og tjene heaps med penger etc. :D

 

Jeg mener, jeg blir jo ikke tatt om jeg gjør alt via proxy - eller bedre; skolen? Ikke det at jeg kommer, teoretisk sett bare ..

Endret av loathsome
Lenke til kommentar
Anders Moen

Anders Moen

Skrevet
Skrevet
Exploiten jeg har funnet er ikke denne som gjør at man kan slette et og et gjestebokinnlegg, men legge til en html/javscript kode i absolutt hver eneste gjestebok på hele serveren med et par klikk. Jeg HAR testet dette (la inn en html kommentar), og det går altfor bra. Finner bare andre "ufarlige" exploiter på Google.

 

Jeg kan f. eks sende alle brukere til en fake innloggingsside, mekke min egen reklame og tjene heaps med penger etc. :D

 

Jeg mener, jeg blir jo ikke tatt om jeg gjør alt via proxy - eller bedre; skolen? Ikke det at jeg kommer, teoretisk sett bare ..

8170196[/snapback]

Haha, det er nice da!

 

Lurer på hvordan jeg :whistle:

Lenke til kommentar
Kadmium

Kadmium

Skrevet
Skrevet
Exploiten jeg har funnet er ikke denne som gjør at man kan slette et og et gjestebokinnlegg, men legge til en html/javscript kode i absolutt hver eneste gjestebok på hele serveren med et par klikk. Jeg HAR testet dette (la inn en html kommentar), og det går altfor bra. Finner bare andre "ufarlige" exploiter på Google.

 

Jeg kan f. eks sende alle brukere til en fake innloggingsside, mekke min egen reklame og tjene heaps med penger etc. :D

 

Jeg mener, jeg blir jo ikke tatt om jeg gjør alt via proxy - eller bedre; skolen? Ikke det at jeg kommer, teoretisk sett bare ..

8170196[/snapback]

Haha, det er nice da!

 

Lurer på hvordan jeg :whistle:

8170341[/snapback]

Det står noe om det på HellboundHackers, så vidt jeg vet.

Lenke til kommentar
Dahl

Dahl

Skrevet
Skrevet (endret)

Vel, da må du tro om igjen - jeg har vært kjent med sikkerhetshull som du beskriver i lang tid. Disse sikkerhetshullene er alle relatert til det samme: Manglende brukerverifisering på serversiden og manglende fjerning av skript. Derfor kan Javascript brukes til å endre det meste.

 

Det er blant annet svært enkelt å lage et skript som sletter samtlige kommentarer og gjestebokinnlegg på samtlige Piczo-sider, eller legge inn et skript som sender brukeren videre til en annen side. Merkelig at dette ikke er blitt utnyttet, da det hadde blitt en stor sak hvis alle Piczo-sider førte videre til spionprogrammer (noe som er fullt mulig i dag). ;)

Endret av Dahl
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...