Stor Piczo-exploit funnet.

comcom · 17. mars 2007

Hva er egentlig hensikten med å ødelegge for unger som leker seg på disse sidene??

Er dere redd for at dem skal lage noe som er penere en det som dere såkalte webdesignere kan lage?

Bakke · 17. mars 2007

Det er vel egentlig ikke snakk om å ødelegge for disse fjortisene... Trådstarter har informert piczo om problemet, det kalles "ethical hacking". Dvs, du finner sikkerhetshull og tetter dem. Problemet her er bare at piczo ikke ser ut til å fikse det...

Inc · 17. mars 2007

gjelder dette også de som har passord for å komme inn på siden?

Bakke · 17. mars 2007

Når du skal teste sider bør du vel ha lov til det, eller at det er din side. Det finnest faktisk folk som jobber med å teste sikkerheten på sider, bedrifter og lignende leier slike folk...

Dahl · 17. mars 2007

Hva er egentlig hensikten med å ødelegge for unger som leker seg på disse sidene??
Er dere redd for at dem skal lage noe som er penere en det som dere såkalte webdesignere kan lage?

8173065[/snapback]

Nå får du virkelig klappe igjen. Ingen her har sagt at det er gøy. Det er svært mange som sitter med kunnskaper som gjør det mulig å komme inn på andres datasystemer og gjøre skade, men det er svært få som benytter seg av kunnskapene. Ingen av oss ødelegger for unger som leker seg på sidene - jeg har iallefall aldri benyttet meg av sikkerhetshull jeg selv har funnet eller lest om. I denne saken er problemet at Piczo ikke tar advarslene de har fått seriøst, de bare informerer om at de vil saksøke alle som eventuelt benytter seg av hullene.

Endret 17. mars 2007 av Dahl

Dahl · 17. mars 2007

gjelder dette også de som har passord for å komme inn på siden?

8173561[/snapback]

Det er jeg usikker på. Jeg kan sjekke, så kommer jeg tilbake med et svar senere.

loathsome · 17. mars 2007

Hva er egentlig hensikten med å ødelegge for unger som leker seg på disse sidene??
Er dere redd for at dem skal lage noe som er penere en det som dere såkalte webdesignere kan lage?

8173065[/snapback]

Nå får du virkelig klappe igjen. Ingen her har sagt at det er gøy. Det er svært mange som sitter med kunnskaper som gjør det mulig å komme inn på andres datasystemer og gjøre skade, men det er svært få som benytter seg av kunnskapene. Ingen av oss ødelegger for unger som leker seg på sidene - jeg har iallefall aldri benyttet meg av sikkerhetshull jeg selv har funnet eller lest om. I denne saken er problemet at Piczo ikke tar advarslene de har fått seriøst, de bare informerer om at de vil saksøke alle som eventuelt benytter seg av hullene.

8174348[/snapback]

Akkurat. Jeg kunne fucka opp Piczo for lenge siden, men likevel sendte jeg en e-post og informerte vennlig om at jeg hadde funnet et hull, og så blir jeg nærmest saksøkt som takk.

Jeg er vel det man kan kalle en whitehat-cracker, helt til jeg blir sur :w00t:

Bakke · 17. mars 2007

Whitehat-hacker rettere sagt En cracker er vel det som også blir kalt en Blackhat-hacker, altså en av "the bad guys"...

Edit: Burde kansje starte en tråd som "Hva er en hacker?"...

Endret 17. mars 2007 av mhbakke

Zethyr · 17. mars 2007

Edit: Burde kansje starte en tråd som "Hva er en hacker?"...

8174747[/snapback]

Det har vi vel fra før

Meget merkelig opptreden fra piczo sin side det her, men det kommer vel før eller siden til bli utnyttet såpass grovt at de ser seg nødt til å bruke noen timer på å tette koden sin.

Peter · 17. mars 2007

Prosedyren blandt de snille proffene er såvidt jeg vet:

Først ta kontakt med firma og informer om feilen.

- Dersom firma interessert, forklar i detalj hva som er galt og om mulig hvordan fikse det. Sett en tidsfrist for dette, og frigi beskrivelse av exploit med PoC-kode etter denne fristen. Normalt vil firma holde seg innenfor fristen, komme med en liten pressemelding f.eks. knowledgebase hvor de beskriver feilen, hvem som fant den, og at den nå er rettet.

- Dersom firma ikke interessert, frigi beskrivelse med PoC-kode, samtidig som du skriver en liten "ikke bruk dette, kun PoC". Og frasi deg alt ansvar, samtidig som du krysser fingrene for at noen kommer til å utnytte det grovt.

Patrick de Maar · 17. mars 2007

Prosedyren blandt de snille proffene er såvidt jeg vet:
Først ta kontakt med firma og informer om feilen.

- Dersom firma interessert, forklar i detalj hva som er galt og om mulig hvordan fikse det. Sett en tidsfrist for dette, og frigi beskrivelse av exploit med PoC-kode etter denne fristen. Normalt vil firma holde seg innenfor fristen, komme med en liten pressemelding f.eks. knowledgebase hvor de beskriver feilen, hvem som fant den, og at den nå er rettet.

- Dersom firma ikke interessert, frigi beskrivelse med PoC-kode, samtidig som du skriver en liten "ikke bruk dette, kun PoC". Og frasi deg alt ansvar, samtidig som du krysser fingrene for at noen kommer til å utnytte det grovt.

8174819[/snapback]

Prosedyren der må jo være elsk.

Matsemann · 17. mars 2007

gjelder dette også de som har passord for å komme inn på siden?

8173561[/snapback]

Det er jeg usikker på. Jeg kan sjekke, så kommer jeg tilbake med et svar senere.

8174363[/snapback]

Ja, og det som er morsomt er at det er veldig, veldig lett å overta kontoen din...

Du tar å legger inn ditt eget javascript med sikkerhetshullet. Det javascriptet vidersender deg til min side med din sessionID eller cookie-info i URL. Min side leser da av dette og lagrer det. Jeg legger den infoen inn i min nettleser, og er logget på som deg... :thumbdown:

Kadmium · 17. mars 2007

Så kan man lure på hvem som faktisk har lyst på informasjonskapselen til en Piczo-bruker.

Men som nevnt tidligere kan man gjøre mye annet, som f.eks phishing etc.

Endret 17. mars 2007 av Kadmium

Gissan · 17. mars 2007

1) Dere som på død og liv MÅ bruke Piczo; Ikke bruk gjestebøkene. (comment board eller hva det heter går greit, tror jeg)

Du tar feil.

Comment boards og shout-boxes er like lett å "hacke" som gjestebøker.

Flurry · 17. mars 2007

De har ingenting å saksøke deg for?

Kadmium · 17. mars 2007

Jo, de har faktisk det. Det er ulovlig å utnytte en hver form for sikkerhetshull. Det som er faktisk er tåpelig her, er at Piczo-staben ikke gjør noe med det, og kun truer med å saksøke enhver person som benytter seg av dette sikkerhetshullet. Piczo er så useriøst at det er nesten ikke til å tro.

**Runar** · 17. mars 2007

Han har ikke utnyttet det (enda), så de har ikke grunnlag for å saksøke han. Da må de først legge frem beviser for at han har prøvd å/utnyttet hullene.

Kadmium · 17. mars 2007

Nei, så klart kan de ikke saksøke han om de ikke har tilstrekkelig bevis for at han gjort noe ulovlig, eller har grunn til det.

loathsome · 18. mars 2007

1) Dere som på død og liv MÅ bruke Piczo; Ikke bruk gjestebøkene. (comment board eller hva det heter går greit, tror jeg)

Du tar feil.

Comment boards og shout-boxes er like lett å "hacke" som gjestebøker.

8177681[/snapback]

Ja, fant det ut rett etterpå.

LEMME EDIT MKAY

1) Dere som på død og liv MÅ bruke Piczo; GET A FREAKING LIFE SUCKERS.

:tease:

loathsome · 18. mars 2007

De har ingenting å saksøke deg for?

8178369[/snapback]

Jeg VET det, er bare måten de opptrer på som irriterer meg - mildt sagt. Jaja, whatever.

Logg inn

Stor Piczo-exploit funnet.

Anbefalte innlegg

comcom

Videoannonse

Bakke

Inc

Bakke

Dahl

Dahl

loathsome

Bakke

Zethyr

Peter

Patrick de Maar

Matsemann

Kadmium

Gissan

Flurry

Kadmium

Runar

Kadmium

loathsome

loathsome

Opprett en konto eller logg inn for å kommentere

Opprett konto

Logg inn

Populær nå

Trump 2025 1 2 3 4 492

Hvem er aktive 0 medlemmer