Feed subscription » blog | » comments | » google+ | » mobi | » twitter

Pozor na závažnú XSS zraniteľnosť na Rapidshare.com!

Pozor na závažnú XSS zraniteľnosť na Rapidshare.com!O XSS technikách som na tomto blogu popísal toho už mnoho. Tentokrát vám ukážem konkrétny prípad, keď je zraniteľnosť spolu so zlým bezpečnostným návrhom zodpovedná za únik platených kont služby Rapidshare.com. Ak ste teda predplatiteľom tejto služby, odporúčam vám článok prečítať.

Rapidshare User CookiesSpoločnosť RapidShare AG, ktorá stojí za projektom najpopulárnejšieho online súborového hostingu Rapidshare.com, pristupuje k ochrane svojich užívateľov s neuveriteľným nezáujmom. Bezpečnostný návrh celej aplikácie popiera všetky základné princípy práce s citlivými dátami, v tomto prípade kontami užívateľov. Ako inak si vysvetliť ukladanie mena a hesla ako plain-text do cookies užívateľského prehliadača?

Ak sa pozriete do svojich cookies, uvidíte pre doménu rapidshare asi takýto záznam.
user=4276***-%71%79%79%2E%63%61%61%61Konto som anonymizoval, aby nebolo možné získať potrebné informácie pre prístup. Záznam pozostáva z dvoch častí. Prvou je prihlasovacie meno (login) 4276***, druhou je potom heslo %71%79%79%2E%63%61%61%61. Heslo stačí “očistiť”, napríklad aj takto.
<script type="text/javascript">
var pwd = "%71%79%79%2E%63%61%61%61";
pwd = unescape(pwd);
document.write(pwd);
</script>
Výsledkom je skutočné heslo v bežnej textovej podobe, v tomto prípade qyy.caaa.

Linkuj.cz Plain/Text CookiesAko môžete vidieť, vývojári Rapidshare si nedali veľa roboty so zabezpečovaním aplikácie. Podobne je na tom aj česká služba Linkuj.cz, ktorá uchováva meno aj heslo v plain/text viditeľnej forme, na čo upozornil pred časom už Jakub Dvořák.

Tento spôsob uchovávania je pre vývojárov veľmi pohodlný, je však v dnešnej dobe absolútne neprijateľný. Niektorí si môžu povedať, že heslo je v bezpečí až do doby, pokým si niekto cudzí nesadne za váš počítač a nezačne prezerať uložené koláčiky. Pravda, no nie tak úplná. Nejaký čas (viac ako niekoľko rokov) je známe aj XSS, vďaka ktorému je získanie cookies na stránke, ktorá obsahuje túto zraniteľnosť, absolútne triviálna záležitosť aj pre tých, ktorí nevedia programovať v jazyku JavaScript. Ja som sa rozhodol kód neuviesť na blogu, jeho zostavenie by však zabralo maximálne niekoľko minút aj tomu najväčšiemu laikovi. Škoda môže byť obrovská, keďže si užívateľ, ktorého prístupové údaje boli odcudzené, za službu poctivo platí. Existuje samozrejme veľmi účinná ochrana pre prehliadače Firefox a Opera.

Každý, kto dnes ešte nepoužíva rozšírenie NoScript (Firefox | Opera) by tak mal učiniť okamžite, keďže sa zdá, že spoločnosť Rapidshare nemieni zraniteľnosť odstrániť, či dokonca upraviť celý systém. NoScript pre Operu nemám otestovaný, každopádne originálny pre Firefox funguje výborne, zaručene vás ochráni pred podobnými praktikami.

Ako poznamenal TommyHot v diskusii pod článkom, každý vývojár by mal poznať metódu httpOnly cookie (PHP), ktorá v mnohých prípadoch môže veľmi dopomôcť k zvýšeniu bezpečnosti práve ako ochrana proti odpočúvaniu Session, či Cookies. Samozrejme, že ani táto metóda nie je 100% ochranou, ale zvyšuje zabezpečenie webu. Ochrana však funguje ako zabezpečenie proti ukradnutiu session, čo v tomto prípade nehrá rolu a zároveň, spôsob ukladania citlivých dát do plain/text formy je veľmi chybné a nesprávne.

Rapidshare Account SettingsVývojári Rapidshare však zabudli aj na ďalšie ochrany. Ako môžete vidieť na screenshote vpravo, bez akýchkoľvek problémov je možné zmeniť heslo bez znalosti toho pôvodného, ale aj email, ktorý slúži pre komunikáciu so spoločnosťou, obnovu hesla, atď. Nehovoriac o tom, že mnoho užívateľov má rovnaké heslo na viacerých službách, teda je dosť pravdepodobné, že so znalosťou tohoto hesla môže útočník získať plný prístup k emailovému kontu obete, poprípade aj do konta PayPal. So znalosťou hesla k emailu a aj PayPal konta, môže prevádzať akékoľvek prostriedky na iné účty prakticky nerušene. Obeť si takéto praktiky môže všimnúť neskoro.

Dnes je preto viac ako potrebné mať nainštalované rozšírenie NoScript a dobrý, bezpečný prehliadač, ktorý toto rozšírenie podporuje. Nejde o výmysel niekoľkých fanatikov, ktorí vidia zraniteľnosti aj tam, kde nie sú. Jedná sa o veľmi dôležité rozšírenie, ktoré vám môže ušetriť mnoho peňazí a bezsenných nocí. Preto ak ho nemáte, hneď si ho stiahnite a začnite používať.

NoScript XSS Warning @ Synopsi BlogNiekoľko mojich čitateľov, ktorí toto rozšírenie už majú dlhšiu dobu, ma dnes upozornilo, že môj web hlási nájdený nebezpečný kód zneužívajúci XSS zraniteľnosť na webe rapidshare.com. Ak ste túto výstrahu zaznamenali aj vy, nie, nejedná sa o falošný poplach. Sám som si skript vyskúšal, aby som si zraniteľnosť potvrdil a mohol o nej napísať. Naviac sa mi potvrdilo, koľko čitateľov disponuje ochranou proti XSS. Moji čitatelia sa však báť nemusia, kód slúžil len ako demonštrácia pre moju osobu, ich dáta sú v bezpečí. Poľahky sa však môže nájsť niekto, kto si takýto kód vytvorí a vaše kontá zneužije. Preto opätovne apelujem na vás, stiahnite si rozšírenie NoScript a chráňte sa proti dnes tak modernému nebezpečiu.

Na XSS zraniteľnosť a ďalšie okolnosti upozornil nktpro.

Zaujal vás článok? Sledujte ma na Twitteri.


36 Responses to “Pozor na závažnú XSS zraniteľnosť na Rapidshare.com!”


  1. 1 TommyHot Jul 17th, 2008 at 01:42

    Hm pri tom by rapidsharu stacilo nastavit vo webovej aplikacii len http_only_cookie atribut. Taketo cookies by sa nedali odchytit javascriptom, pretoze by sa posielali len pri http requeste.

    Viac napr tu: http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html

  2. 2 oooo Jul 17th, 2008 at 02:00

    Som rad, ze si hned zareagoval touto ochranou. Myslim, ze kazdy vyvojar, ktori navstivi tento clanok, by si mal HttpOnlyCookie nastudovat! Tato ochrana je vsak ochrana len pre session, nie pre cookies samotne.

  3. 3 Boris Jul 17th, 2008 at 07:07

    “Niekoľko mojich čitateľov, ktorí toto rozšírenie už majú dlhšiu dobu, ma dnes upozornilo, že môj web hlási nájdený nebezpečný kód zneužívajúci XSS zraniteľnosť na webe rapidshare.com. Ak ste túto výstrahu zaznamenali aj vy, nie, nejedná sa o falošný poplach. Sám som si skript vyskúšal, aby som si zraniteľnosť potvrdil a mohol o nej napísať. Naviac sa mi potvrdilo, koľko čitateľov disponuje ochranou proti XSS. Moji čitatelia sa však báť nemusia, kód slúžil len ako demonštrácia pre moju osobu, ich dáta sú v bezpečí.”

    Takze vykradnes cookie navstevnikom svojeho webu a hovoris, ze sa nemusia bat, ze ich data su u Teba v bezpeci? :-D To mi pripomina vyhovorku zlodejov – ja som sa chcel iba previezt na tych 15tich autach co mi nepatria a stoja u mna na dvore…
    Webov s xss je ako nas*atych, webov, ktore ukladaju autentifikaciu uzivatela do cookie zacina byt nastastie menej. Co je podla mna zaujimavejsia zranitelnost je sql injection, ktorou trpi pomerne vela webov a clovek ziska z databazy podstatne viac informacii ako pomocou xss utoku. Chces data? chod napr. na booom.sk

  4. 4 huno Jul 17th, 2008 at 09:47

    Takze, ak tomu spravne chapem, nejaky clovek na sla.ckers.org objavil bezp. chybu,
    ty si jej aplikaciu vyuzil na svojom webe, ziskaval tak data o uzivateloch bez ich vedomia
    a teraz ta znepokojuje bezpecnost pouzivatelov ?
    No take script kiddie proste ;)

  5. 5 matej Jul 17th, 2008 at 09:49

    mam taku jednu blbu otazku: ako ma noscript ochrani pred javascriptom, ktory insertnes na tu stranku, ktoru musim mat povolenu, inak si odtial nic nestiahnem?

    You would like to download the following file::

    ERROR: Please activate JavaScript.

    mam na mysli “(x)ss” na styl http://blog.synopsi.com/2008-05-11/fd-hacknite-si-blogsmesk-za-pomoci-xss

  6. 6 majak Jul 17th, 2008 at 10:17

    matej:
    Ak spravne rozumiem co sa pytas, tak…
    Filtre, ktore ma NoScript na detekovanie XSS, su funkcne nezavisle od toho ci mas javascript na danej stranke povoleny. Ak najde nieco podozrive, tak ti to blokne (a je len na tebe ci ten kod povolis).

  7. 7 matej Jul 17th, 2008 at 10:32

    majak: hovorim o pripade, kedy “xss” nie je tak celkom cross-site, ako napr. v tom clanku co som linkol

  8. 8 oooo Jul 17th, 2008 at 10:53

    Boris: aj tak sa to da interpretovat. Nepatrim medzi ludi, ktori si danu vec nemaju nastudovanu a vedia, ze je skutocne nebezpecna. Mohlo tam byt mnoho dovodov, preco by to iste nemuselo. Pisat teoreticke clanky je pekna vec, ale nijak nepomoze, ak nemam konkretne udaje.

    sql injection je zaujimava v jedinom pripade. ak ti ide o konkretne data uzivatelov. xss a csrf su daleko zaujimavejsie, pretoze sql injection je vo vacsine pripadov len tam, kde tie data nie su zaujimave (ako spomenuty booom.sk). Taky rapidshare na tuto zranitelnost netrpi, zato trpi na xss, vdaka ktorej je mozne ziskat konta uzivatelov.

    huno: ja som si len potvrdzoval funkcnost bezpecnostnej zranitelnosti. data mojich navstevnikov nie su ulozene nikde, slo len o potvrdenie zranitelnosti, ktore robim vzdy. ako som napisal, mohlo byt vela dovodov, preco by dana zranitelnost nemusela fungovat.

    matej: noscript reaguje aj na kod, ktory som publikoval v zmienenom clanku. stale sa jedna o XSS, len je to typu persistant. noscript je mozne samozrejme rovnako obist, ale v 98% pripadoch je funkcny.

  9. 9 sandra Jul 17th, 2008 at 11:08

    malokde je bezpečnost webu zaistena

  10. 10 oooo Jul 17th, 2008 at 11:09

    sandra: to ale nie je dovod, len alibisticka vyhovorka

  11. 11 Martin Jul 17th, 2008 at 11:22

    Pri pohlade na clanky tykajuce sa zranitelnosti roznych web stranok som sa aj ja troska pohrabal na stranke http://www.skga.sk a nasiel tam jednu zaujimavu chybicku. ;)

    Konkretne sa jedna o moznost ziskat osobne udaje o jednotlivych hracoch golfu a prihlasit ich bez ich vedomia na lubovolny turnaj.

    Zacinem teda postupne:

    1. Kliknime na turnaje (http://www.skga.sk/Tournaments.aspx?IDMenu=54232401)
    2. Vyberme si lubovolny turnaj: Goflík tour 2008 (http://www.skga.sk/TournamentDetail.aspx?IDTournament=33396240)
    3. Pozrime si zoznam prihlasenych hracov (http://www.skga.sk/TournRegistrations.aspx?IDTournament=33396240&IDTournCategory=0)
    4. Vyberme si lubovolne meno hraca (napr. HES Filip)
    5. Teraz si zoznamu turnajov vyberme turnaj, ktory sa este len bude hrat (http://www.skga.sk/TournamentDetail.aspx?IDTournament=17137296)
    6. Vyberme prihlasenie sa na turnaj (http://www.skga.sk/TournRegister.aspx?IDTournament=17137296)
    7. Zadame meno nasho hraca :) (narp. HES)
    8. Dostaneme kompletny zoznam hracov ktorych meno ci priezvisko sa zhoduje s tym ktore sme zadali
    9. Staci uz len kliknut na konkretneho hraca a hned su vidiet udaje ako je jeho meno, priazvisko, datum narodenia a pod.

    Mozno to niekto bude povazovat za banalnu chybu, no nie je nic prijemne pokial dokaze ktokolvek ziskat udaje o hracoch, ako je ich datum narodenia a prihlasit doslova kohokolvek na turnaj bez jeho vedomia. Navyse ani pre hlacov golfu, ktori si chcu skutocne zahrat nie je prijemne aj pridu na turnaj a zistia, ze z 10 prihlasenych tam su len traja.

    Dalsie chybicky ktore skryva tento web si zatial necham pre seba, no urcite sa oplati vyskusat co vsetko sa o hracoch mozete dozvediet vdaka nizkej urovni bezpecnosti ktoru ponuka svojim pouzivatelom sajt http://www.skga.sk.

  12. 12 huno Jul 17th, 2008 at 11:33

    oooo:
    no mne je to jedno, pokial tvojim navstevnikom nevadi ze si zbieras (nemusis ich ukladat ked tvrdis ze si ich neukladal) ich data, tak je to OK, len mne to pripada ako ‘kupil som si samopal, skusam ci funguje’, ked to prezeniem. Ze si ty nic neukladas mozem a nemusim verit.

    Inak som nenarazal nato – narazal som nato, ze sa tu mohutne rozpisujes o niecom, co si opat neobjavil, ale to nie je prvykrat, nakoniec tvoj blog, mozes si pisat o com chces, ked ta to bavi.

  13. 13 oooo Jul 17th, 2008 at 11:39

    huno: aj ty si moj navstevnik, aj ty musis vediet, ci ti to vadi. kvoli tomu je potrebne sa chranit, v tomto pripade NoScriptom.

    veru, tuto zranitelnost som neobjavil. ja som ich neobjavil spustu, akosi nemam niekolko tisic ruk, neobmedzeny cas a nesurfujem cez cely internet. je bezna prax, ze sa odkaze na toho, kto zranitelnost objavil. ak ti to prekaza, neviem naco sem chodis.

  14. 14 huno Jul 17th, 2008 at 12:04

    nevadi mi to, rapidshare nepouzivam. chodim sa sem bavit, takze diky, len tak dalej. Slovensky internet este nema svojho Radka Hulana, takze smelo do toho.

  15. 15 Accuphose Jul 17th, 2008 at 13:08

    Tak jsem si stáhl z komunity Opery upravený js BlockIt…. Udělal složku v Opeře, nastavil cestu, nakopíroval script a nic se neděje, jen tahle stránka načítá dost pomalu, nevím jestli to něco blokuje nebo ne. Pokud máte Operu, tak tahák by se hodil.

    huno:
    Víš ono psát články odborné vyžaduje motivaci… Radek Hulán je jiný případ, ačkoliv proti němu nic nemám osobně.

  16. 16 dit Jul 17th, 2008 at 13:25

    včera som sa čudoval prečo mi NoScript vyhadzuje pokus o XSS, a keď som sa dozrel do konzoly tak som nechápal tomu rapidshare.
    bolo len otázkou času kedy na svojich návštevníkoch vyskúšaš nejaké XSS :D, po toľkých článkoch.
    chcem sa spýtať či si nejaké kontá odchytil?
    “mnoho užívateľov má rovnaké heslo na viacerých službách, teda je dosť pravdepodobné, že so znalosťou tohoto hesla môže útočník získať plný prístup k emailovému kontu obete” ja sám používam RS.com ale oni mi sami poslali 10-miestne heslo z veľkých a malých písmen, a pochybujem ze by si niekto dal toto heslo ešte niekde inde

  17. 17 TommyHot Jul 17th, 2008 at 13:41

    Odkedy je trend vsade trepat javascript som NoScript prestal pouzivat. Nebavilo ma stale odblokovavat jednotlive stranky, len preto aby fungovali. Neviem ako funguje teraz, ale ked som ho ja pouzival (viac nez rok dozadu) tak ziadne hlasenia o XSS nerobieval.

    Ako vlastne funguje? Ked mam napriklad globalne povoleny javascript, tak ak je na stranke nejaky podozrivy kod, tak ma upozorni aj tak a ten kod zablokuje? Ak by to fungovalo takto, tak mu mozno dam este jednu sancu.

  18. 18 gee Jul 17th, 2008 at 13:51

    @autor -> Zasa vyborny clanok, dik. Normalne uvazujem nechat si pri vacsich projektoch spravit bezpecnostny audit, pretoze niekedy nemusi byt projekt uplne odflaknuty alebo amatersky, ide len o to, ze sa na nieco zabudlo, alebo sa nezvolila najidealnejsia technika apod.

    @huno -> Cece, ked nemas co napisat, preco to tu zasieras komentarmi ?

  19. 19 chrono Jul 17th, 2008 at 14:27

    TommyHot -> Pokusy o XSS ti bude NoScript detekovať aj v prípade, že pre tú stránku povolíš javascript.

  20. 20 huno Jul 17th, 2008 at 14:49

    gee:
    zato informacna hodnota tvojho prispevku bola priam uzasna ;)
    nevedel som, ze sa tu akceptuje len chvala a ospevovanie, budem nabuduce nato mysliet. este raz sorry ze som si dovolil vybocit.

  21. 21 oooo Jul 17th, 2008 at 15:46

    dit: asi ano, mne o tie konta nejak nejde. ja som vsetky data zmazal plosne hned, ako sme to s par ludi na irc otestovali. nemusis sa bat, nemam dovod vas okradat o vase konta, na rp nechodim, nemam na to dovod a keby som ho chcel, tak si ho kupim.

    otazka casu? uz som ho parkrat vyskusal, len ste o tom nevedeli :) moje xss pokusy vsak nerobia neplechu, vacsinou si na nich potvrdzujem teorie a hluposticky. to ze uzivatelia pouzivaju rovnake hesla na sluzbach je fakt, ktory je prezentovany roky. na to som ja nedosiel.

    huno: nuz, si celkom zabavny, to sa musi nechat. ja mam rad pozitivne komentare, takze kludne pokracuj. pokym neurazas konkretnych ludi, ci mna a maju tvoje prispevky aspon nadych relativne funkcneho komentaru, preco nie.

    gee: dakujem. tvoju iniciativu zvysovat bezpecnost svojich projektov ti schvalujem

    Accuphose: asi o tom napisem clanok, aby bol akymsi how-to aj pre ostatnych

    TommyHot: NoScript, ako ti uz napisal chrono, funguje aj s uplnym povolenim scriptov. vyhladava potom urcite vektory, ktore blokuje. takto odstrani priblizne 99% vsetkych XSS. Obcas je aj nejake to FP (false positive), ale stava sa to skutocne vynimocne

  22. 22 dit Jul 17th, 2008 at 16:09

    viem že sa používajú rovnaké heslá na viacerých kontách/službách, ale ja som mal skôr na mysli, že heslo čo ONI vygenerujú, napr. KcJwRBpAeL si užívateľ nedá na e-mailové konto, keď na RS.com si ho nechá uložiť v prehliadači, alebo v nejakom download manageri, aby ho nemusel zadávať každú chvíľu, a na e-mail alebo spomínaný paypal sa neprihlasuje tak často.

    inak, good článok :)

  23. 23 Accuphose Jul 17th, 2008 at 17:18

    Myslím si, že Operu si umím nastavit slušně. JS mám nastaven takto, prakticky ho mám povolený jen kvůli formulářům, abych nemusel mazat předvyplněná políčka + některé weby s js menu. Ten BlockIt mi podle všeho blokuje obrázky a další věci… to si ale řeším přes urlfilter.ini.

    Nastavení:
    http://img180.imageshack.us/img180/8955/settingwi9.jpg

    Dokonce bych řekl, že s tímto nastavením mi žádný XSS nehrozí, v opačném případě mi ten blockit nepíše nic, co by mohl blokovat. Nebo se pletu? Jinak cookies mažu po vypnutí prohlížeče a nelezu najednou na neprověřené stránky a třeba zrovna rapidshare. Vždy je lepší být preventivní paranoik, než doplatit na něčí chyby.

  24. 24 gee Jul 17th, 2008 at 17:39

    @autor -> este na margo bezpecnostneho auditu: V kazdom pripade by som zvolil externu firmu, alebo odbornika v danej oblasti, pretoze predpokladam, ze sa na danu oblast specializuje a bude mat viac skusenosti, ako cely programatorsky tim dohromady. Druhym argumentom je, ze pri vacsich projektoch, kde pracuje tim povedzme 3 a viac programatorov dlhsie ako 6 mesiacov sa stava, ze programatori su uz z toho projektu taki zblbnuti a otupeni, ze im unikaju logicke chyby, nieto este bezpecnostne. Skratka, nejaky cas pred produkciou by mal nastupit clovek, ktory to cele vidi prvy krat, v uplne inom uhle apod.

    Chcem sa spytat, ci sa nechystas vydat samostatny clanok, ktory by v kocke popisal rozsah bezpecnostneho auditu, sposob prace, co sa vyzaduje od objednavatela auditu apod. Celkom by ma to zaujimalo, mozno aj inych. Vdaka za odpoved + viem, ze moj komentar k tomuto clanku je to trocha OT.

  25. 25 Accuphose Jul 17th, 2008 at 18:51

    Tak BlockIt nebrat, blokuje to například i YouTube (nebo Flash celkově nevím) NoScript blokuje co jsem zjistil pop under okna a to Opera neumí. Takže si to nechám. Přes to mi to nepíše nic o tom, co to blokuje…

  26. 26 oooo Jul 17th, 2008 at 20:16

    Accuphose: pozeram, ze tu robis pomaly seriozny vyskum rozsireni pre operu :)

    gee: nuz, mozem sa k tomu niekedy dostat, ale dost je toho popisaneho v owasp. externu spolocnost schvalujem, white hat box testing je podla mna jedna z najucinnejsich foriem testovania webu

    dit: heslo sa da zmenit, myslim ze 99% ludi si ho zmenilo hned ako dostali moznost

  27. 27 romee Jul 17th, 2008 at 21:56

    oooo:

    o aky skript islo? mne totiz noscript nezobrazuje nic podozrive, takze predpokladam ze uz je to prec. ale nerozumiem tym reakciam o ziskavani dat pouzivatelov – kazdy normalny browser predsa nebude posielat cookies pre jednu domenu v ramci requestu na inu domenu.

    a este k tomu httponly: co myslis tym, ze ide len o ochranu session a nie o ochranu cookies? ved u klienta je session reprezentovana len prostrednictvom session id v cookie a ked je httponly, skripty sa k nemu nedostanu.

    dik

  28. 28 oooo Jul 17th, 2008 at 23:25

    romee: httponly je opisane na oboch odkazoch, ktore som sem dal. session nemusi byt nutne v cookies, je to jedna z moznosti, ale samozrejme nie vzdy. httpOnly je prave o tom, ze sa nenachadza v DOM, cize k nemu JS nevie pristupit. to je v podstate vsetko.

    script bol samozrejme odstraneny po potvrdeni zranitelnosti. samozrejme ze browser ziska cookies, pokial mu to server umozni. on mu to umozni, ak je na webe xss zranitelnost. to je tento pripad

  29. 29 y|b Jul 20th, 2008 at 13:46

    “Obcas je aj nejake to FP (false positive), ale stava sa to skutocne vynimocne”

    Me se tohle stava kdyz platim za nektere sluzby pres paypal, tak to kolikrat odchytne redir, pokud je pouzity jiny checkout system a zahlasi to jako pokus o XSS. No, na druhou stranu se mi to za posledni rok stalo asi jen 2x

  30. 30 olala Jul 21st, 2008 at 10:25

    v poslednej dobe, sa mi zda ako keby klesala uroven niektorych clankov, respektive clanky su pisane viac agresivne, urcite agresivnejsie ako im nalezi…
    teda vysvetlim, uz je to nejaky piatok co sem na blog chodim, a vacsinou som si tu fjn pocital nieco, hlavne kvoli tomu ze nemam cas citat blogy/weby z ktorych preberas + vlastna tvorba a tu to bolo vzdy pod jednou strechou… kazdopadne mam pocit ze v poslednej dobe sa velmi zuzil zaber na : Google , Azet + co sa mi podarilo “hacknut” , kde sa nasla (aj ked nepodstatna) XSS chyba na slovenskom webe. Google – pohodicka, clovek si rad precita o vladcoch sveta, fakt uz len cakam filmove spracovanie tejto megamkorporacie … azet – co si budeme hovorit, vela z tych chyb bolo znamych, ale napriklad tie maily na zoznamke boli zname neviem ako dlho, vela ludi si tak kontrolovalo mail na ktory vlastne na inzerat odpoveda :)).. ale berem to a urcite to zdviha popularitu taky clanok a spravit vlastne nieco co tisice ludi v mensom robili par rokov.
    tie slovenske weby to nejak nejdem komentovat,vacsina tych chyb bude asi nezneuzitelnych alebo snad uplne minimalne bez efektu, ale najdu sa asi aj zavaznejsie… stratil som nit co som tym chcel ale povedat tak skocim rovno k tomu rapidshare : mohol si to spravit trosku komplexnejsie a tesnut napriklad aj najpouzivanejsi externy downloader veci z rapidsharu, rapget, popripade ine, ktore tiez velmi zaujimavo ukladaju hesla… ja som skusal svojho casu dva, teraz neviem ktory to robil ako, jeden surovo hodil do textacu meno heslo, druhy to mal s prefixom %… cize tiez nic moc (ale to uz nie je starost rapidsharu, iba alternativ na pohodlnejsie stahovanie)

  31. 31 oooo Jul 21st, 2008 at 10:38

    olala: ako som pisal, odborne clanky, resp. clanky z IT sa presunuli na etrend, sekcia technologie. ostal uz iba blog, kde pisem vlastne veci, nic dalsie. ak si o tejto zranitelnosti na azete tak dlho vedel, nic ti nebranilo na nu upozornit. ja som tak urobil, nevidim v tom nic zvlastne. mal si prilezitost, nik ti ju predsa nebral.

    to kde sa aka xss zranitelnost nasla som opisal snad iba v prvom clanku, potom to je uz iba o fore, kde su tieto zranitelnosti postupne publikovane. kazde xss je zneuzitelne, minimalne na zmenu DOM (ak vies co to je).

    co sa tyka rapidshare, nemam zaujem o recenzovanie sluzieb, inych programov, ci dokonca ich bezpecnosti. len som na to narazil a napisal o tom. nic dalsie v tom nehladaj.

  32. 32 olala Jul 21st, 2008 at 11:09

    oooo: zle sme sa pochopili asi. nechcel som aby si to recenzoval, len som to spomenul ako dalsiu cast ktoru si ludia ani neuvedomuju ze tu postupuju snad rovnake riziko pri pouzivani tychto downloaderov a ani s tym realne nic nemozu spravit..

    chyba na zoznamke : nikdy som to takto neriesil, dokonca som to videl aj na nejakom starsom fore (sam sa takymto veciam nevenujem, nemam cas ani chut , len si o tom rad citam), je to cista lamerina azetakov ze to proste nespravili, ty si spravil o tom velky clanok co citalo cele slovensko, bolo to v spravach a tak to ma byt. to ti nic nevycitam.

    Chcel som proste to, ze z pohladu laika, teda mojho, zacina mat tato stranka velmi uzky zaber (presun na etrend som nepostrehol, dik za tip) a velmi casto je to len o XSS a teoretickom vyuziti, ze tvoji 15 rocny citatelia co by si to radi skusili z toho ani nic nemaju :PP a mne to zasa nic nepovie, ze na co konkretne sa to da pouzit (resp povie, ale vacsinou mi to pride ako banalita s minimalnym vyuzitim).

    blog budem samozrejme navstevovat dalej, ale nerobim si iluzie ze nemas v txtcku na ploche zaznam meno heslo rapid ludi co tu boli :).

  33. 33 oooo Jul 21st, 2008 at 11:31

    olala: hned od koncu. nemam. nemam tu potrebu, nerobim take veci. keby si ma poznal, vedel by si dovod. kazdopadne, aspon si uzivatelia snad uvedomia, ze nik nie je doveryhodna osoba a ze sa treba chranit. proste treba byt obozretny aj na znamych weboch, inak na to jednoducho doplatis. nema zmysel o tom pisat, ked si z toho reale uzivatelia nic nerobia. a o to mi ide.

    ano, o zoznamke som uz toho popisal skutocne dost, nemusime to znova rozoberat.

    a co sa tyka softveru pre rapid, ja ho nepoznam, rapidshare nevyuzivam (nemam najmensi dovod). takze ja tento softver ani nic s nim spojene skutocne nepoznam. ja som to sem dal len preto, ze som na to narazil inde.

    co sa tyka specializacie, nuz, nema zmysel pisat aj tu aj na trende rovnake clanky. preto si tu nechavam priestor len na blog. mozno zacnem aj osobne clanky, este neviem

  34. 34 Kusi Jul 23rd, 2008 at 15:20

    To som si vsimol aj ja, najskor som si kukol, ako RapidUploader uklada heslo, do klasickeho .sys suboru to dava a na rovnakom principe. Nasledne som zistil, ze heslo obsahuje dajaku zakladnu sifru, ak ho ale dam do prehliadaca, funguje to ako normalne heslo. Uz to ma dost prekvapilo. Cookies som si potom pozrel tiez a co nevidim, toto iste, naozaj som z toho nechapal.

  35. 35 Jozef Rusnak Jun 25th, 2009 at 23:02

    Nooo pekne od Teba ze si mi smajzol heslo :-D

    Ale inak, s tym no-script rozsirenim — neviem neviem – nainstaloval som ho, len akurat ze to vsade blokuje javascripty — to sa ti nezda kus blbe? Tym padom sa zablokuju aj napr. lightboxy a pod…..

    Inak, fajn clanok!

  36. 36 oooo Jun 25th, 2009 at 23:18

    #35 Jozef Rusnak: klikni na noscript dole v liste, alebo kde ho mas a tam daj “Allow scripts globally (dangerous)”. odteraz ti bude blokovat len potencionalne utoky. NoScript funguje aj ked mas zapnuty JS, no obcas nemusi nieco odchytit. Ale i tak je bezpecnost o 99% vyssia ako za normalnych okolnosti

Zanechajte odkaz

  • na ďalšie komentáre odkazujte za použitia čísla komentáru v hranatej zátvorke, napríklad [3]
  • vaša IP adresa je logovaná a zneužívaná na výskumné účely
  • môžete mi tykať
  • komentáre sú moderované, kritiku prijímam, snažte sa prosím strániť invektív