MzK Hacknul linkuj.cz

http://mozektevidi.net/up/link-hack.png

Naposled o bezpečnosti portálu linkuj. Hack, bezpečnostní chyba, plain-text. Můj příběh a moje minutová sláva.
Celý článek je zveřejněn na mozektevidi.net/clanek/mzk-hacknul-linkuj-cz

#1 matej21

LoL ja sem v tom seznamu 3x 8-)

date 25.3.2007 Ne 10:29
#2 Golfy webgolfy.gotia.cz emailkubakrenek©centrum.cz

ja taky 3x :-)

date 25.3.2007 Ne 11:31
#3 MzK webmozektevidi.net/ emailmozek007©seznam.cz

TO matej21 a Golfy: Je to protože jsem tě 3x "dostal". Linkoval se mi článek o jednojádru + o linkuj. A admin mi to soustavě mazal. Tak jsem ho zalinkoval znova a proto jsi mě mohl linkovat 3x.

date 25.3.2007 Ne 13:00
#4 Golfy webgolfy.gotia.cz emailkubakrenek©centrum.cz

aha, tak to jo :-)

date 25.3.2007 Ne 13:22
#5 Stoyan

"Napsal mi na ICQ Stoyan. Vyptává se. Naznačuji mu způsob..." Nekecej, nic jsi nenaznacil. Jedina pravda je to, ze kdyz jsem se dovedel ze na linkuj chyba je, ze jsem se zacal zajimat. Na cely postup jsem prisel nezavisle na tobe a z meho clanku je jasne, ze i jinym zpusobem nez ty (viz skript ajax.php). Btw, ten link tam mas, tak nebrec...:-P Jinak uz jen ten nadpis obsahujici slovo "hacknul" se mi zda prehnany. Za hacknuti bych povazoval minimalne, kdyby ses dostal k jejich db a zjistil hesla useru, tohle byla jen minoritni chyba, proto je vystiznejsi, jak uz jsi jednou pouzil, slovo "oblbnul". Nebudu te ale tahat za slovo. Uzij si svych pet minut slavy:-P

(neber to jako utok proti sve osobe, pouze jsem vyjadril svuj nazor 8-) )

date 25.3.2007 Ne 13:38
#6 NoxLbc webrival.cz

Jó, to já jsem tam 5× ;) ale linkoval bych stejně, povedený trik, gratuluju ;)

date 25.3.2007 Ne 14:20
#7 MzK webmozektevidi.net/ emailmozek007©seznam.cz

TO Stoyan: jj, máme odlišný způsob. Ale uznej, že když víš, že tam chyba prostě je, objevení je snadné. Kvůli linku nebrečím, ale linkování by měla být samozřejmost. Je mi přišlo divný, že jsi linkoval všecho ostatní (wiki, linkuj, cCuMiNn., i ten plug-in.) pouze mě ne. Tak mi to přišlo divný, teď OK. Nadpis hakunl je trochu bulvárnější, vím to. 5 minut slávy je dávno pryč :-D
TO NoxLbc: Dík, chystám další ;-)

date 25.3.2007 Ne 15:53
#8 Dash webdash.nazory.cz/ emaildash.will©seznam.cz

Mě z toho seznamu klidně smaž, tak trošku mám proti "iFrame háčkerům" imunizovaný nastavení a hlasy (tuším 2) jsem poctivě odkliknul :) ale že si už nezalinkuju, to je teda vážně super SKULL

date 25.3.2007 Ne 20:14
#9 Morelo websbernice.net emailtech©sbernice.net

no tim refererem si nijak nepomohli, nevidim problem udelat na strance tez iframe a pres javascript provadet napr. aktivaci formulare, kterej pojede na linkuj, vcetne refereru, pokud neni blokovan.
LOL

date 25.3.2007 Ne 21:06
#10 MzK webmozektevidi.net/ emailmozek007©seznam.cz

TO Dash: Jaké nastavené používáš? Zarazila mě jednoduchost provedení "útoku" a obranu na straně uživatelů moc nevidím.. Jen se odhlašovat. Za linkování díky..
TO Morelo: Vím o tom, bohužel neumím JS. Myšlenku mám stejnou, referer opravdu nepomůže. Ono to nějak půjde, začínám se učit javascript, tak uvidím jestli něco vymyslím

date 25.3.2007 Ne 21:14
#11 Morelo websbernice.net emailtech©sbernice.net

TO MzK:

<html>
<body onload="enter.submit()">

- hiddeny ktery se maj odeslat -

</form>
</body>
</html>

se to proste nijak neda "zabezpecit"

date 25.3.2007 Ne 21:21
#12 Morelo websbernice.net emailtech©sbernice.net

za body a pred hiddeny sem zapomel napsat:

<form method=post name=enter action="http://kam">

date 25.3.2007 Ne 21:22
#13 MzK webmozektevidi.net/ emailmozek007©seznam.cz

TO Morelo: Na Linkuj.cz vyskočí alert okno s dotazem. Takže ještě přidat JS pro "odkliknutí" alert okna. Jestli to teda de. Podle mě budou potřeba 2 skryté framy. Jeden pro odeslání hiddenů na linkuj.cz (tam vyskočí okno), které odklikne JS kód ve druhém skrytém framu.
Obrana proti tomu samozřejmě je, ať už se jedná o autorizační tokeny, nebo opisování obrázku či nějakého textu (chce to reakci uživatele).

date 25.3.2007 Ne 21:40
#14 Lukee webatd.havrlant.net

"Podle výše uvedeného skritpu jsem dostal buď lamy co nestojí o anonymitu (referer)"
Nechápu, proč lamy? Existují nějaký rozumný důvod, proč si referer blokovat? Akorát pak někomu naruším statistiky, kde se zasunu do kolonky "referer nepředán či blokován" :-).

Ale jinak hezké, hezké ;-).

date 26.3.2007 Po 00:05
#15 MzK webmozektevidi.net/ emailmozek007©seznam.cz

TO Lukee: Já používám hlavně pro větší bezepčí. Co kdybych šel na nějakou stránku a referer bych ponechal /mozektevidi.net/admininystrace/clanek/delete/ nebo jiné nebezpeční URL? Na jednu stranu (statistiky) souhlasím, sám je sleduji. Ale ta bezpečnost (anonymita) u mně vítězí. Sry za slovo lamy, je moc tvrdé, je na každém, zda si referer blokuji či nikoliv.
díky

date 26.3.2007 Po 14:25
#16 Lukee webatd.havrlant.net

TO MzK: Pokud to máš dobře zabezpečené, musí ti ta URL vyhodit hlášku, že nejsi zalogovaný, ne? Nebo jak to myslíš?

date 27.3.2007 Út 00:35
#17 MzK webmozektevidi.net emailmozek007©seznam.cz

TO Lukee: Ano, hodí to hlášku loginu. Přesto nerad sděluji svoji strukturu administrace..

date 27.3.2007 Út 08:08
#18 Mr.X

Milý pane Mzk,
Vaše články a příhody jsou jistě úsměvné, ale nazývat to celkově hackingem a sám sebe hackerem, nemyslíte že je to trochu silný výraz?
Například často uváděné příklady php injekce, či zneužití nekorektně ošetřeného upload striptu na stránce dotyčného, to je pouze využitím chyby neznalého, avšak v takové míře jednoduchosti že se to dá stěží nazívat hackingem. Ano jistě můžeme říct že hack není omezem stupni obtížnosti dané činnosti, ale upřímně opravdu si myslíte že je to to, co uvádíte statečně na svém webu pod silným nápisem "hacking"?
Umíte také jiné jazyky než pravděpodobně nejlehčí z nich php? Pokud ano, jste jistě na dobré cestě , pokud ne, všeho dočasu a neunáhlete se se seberekvalifikací z lamera na hackera takto rychle.
Nebo si vezměme například Váš wifi hacking, opravdu hacking? Ó ne pane, vždyť přeci odchytit si paket a nastavit si z něj mac adresu dokáže každý běžný uživatel po přečtení krátkého návodu. Vy to však sebevědomě nazýváte hackingem.
Proč to píšu? Nechci Vás tu nějak hanit, ale myslím že pro Vás a hlavně pro Vás, bude do začátku nejlepší nepřehánět to se svým sebevědomím do míry v jaké je to nyní.
Jak jsem však psal výše, do začátku jste vykročil správným směrem, ale nepřecházejte z chůze do sprintu zbytečně brzo.

Ale samozřejmě pod mou lehkou kritikou musím zdůraznit, že Váš web je opravdu příjemnou kratochvílí na zmírnění nudy všedního dne, stylem zajímavě a zábavně vedeným.

S přáním úspěchů Mr.X

date 8.5.2007 Út 13:31
#19 MzK webmozektevidi.net emailmozek007©seznam.cz

TO Mr.X: Díky.. Sám sebe hackerem nenazývám. A jak jinak popsal činnost "hacking"? Existuje nějaké jiné slovo, které označuje basic hacking? Slovo hacking používám, protože vím, že hacking nemusí být složitý a hacknout server netrvá týdny. Slovo hacknout používám, protože každý z toho pochopí o co jde. Použil jsem i slovo "oblbnout linkuj" ale když někdo bude hledat informace o hacku, nazadá do googla string "oblbnutí"
Ve slově nazývat se píše Y.
Ještě jednou díky za oprávněnou kritiku k věci a s arugmenty. Přeji hezký den.

date 8.5.2007 Út 13:44

© 2008 Oldřich Šálek Zásady ochrany osobních údajů