Fixed.Cieszę się. Może młodzież zacznie żyć w realu zamiast marnować czas na NikogoForum
Leaki, ataki, niebezpieczniki - tablica ostrzeżeń
#91 Napisany 10 października 2014 - 10:45
#92 Napisany 10 października 2014 - 10:49
Ryan, dlaczego znów postrzeliłeś się w stopę?
Nie trolluj, marnie Ci to wychodzi.
#93 Napisany 10 października 2014 - 11:42
#94 Napisany 16 października 2014 - 00:05
Jak ktoś chce sobie wybrać fajny numer w sieci PLAY bez klikania 1000 razy losowania to okazuje się, że mają przyjazny webservice
Penetrowanie zajęło mi z 4h razem z akcją ale było warto bo mam całkiem fajny numer;]
Generalnie jak się znajdzie adres do żądania ajaxowego w koszyku gdzie losuje się numery, wystarczy:
- luknąć jakie idzie żądanie
- skopiować cały header "Cookie"
- napisać skrypt z ustawionym tym Cookie który w iteracjach wysyła zapytanie (jednorazowo zwracany html z 6 numerami)
- przeprasować otrzymany html jakąś biblioteką i wyłonić numer i jego id
- ściągnąć numery po określonej liczbie iteracji, posortować i zapisać do pliku np.
- wybrać numer
i teraz czynność powtarzamy, ale musimy w pętli dać warunek że jeżeli któryś z 6 wylosowanych == "nasz wybrany" to wychodzimy i robimy exit, żeby nie wysłało następnego żądania ponieważ strona serwerowa zapisuje te które nam wylosował i samo wpisanie id wybranego numeru nie wystarczy - ostatnie losowanie na parametr z Cookie określający identyfikację koszyka musi mieć ten numer żeby przeszło.
No to jak skrypt akurat wylosuje ten numer to kończy, kopiujemy id i w ukryte polu w formie go wklejamy przez np wtyczkę firebug i idzie;]
Jestem hakier rzeczy których dobrze się zabezpieczyć nie da (Czyli jawnego ajaxa) olo xD Ale trochę się namęczyłem zanim do tego wszystkiego doszedłem i się cieszę bo MAM CALKIEM FAJNY NUMER
może komuś się przyda i będzie chciał się pobawić.
Ten post był edytowany przez Kurzy dnia: 16 października 2014 - 00:08
#95 Napisany 16 października 2014 - 00:12
zgłaszam sprawę do Hołka
#96 Napisany 16 października 2014 - 06:13
Jak ktoś chce sobie wybrać fajny numer w sieci PLAY bez klikania 1000 razy losowania to okazuje się, że mają przyjazny webservice
Penetrowanie zajęło mi z 4h razem z akcją ale było warto bo mam całkiem fajny numer;]
Generalnie jak się znajdzie adres do żądania ajaxowego w koszyku gdzie losuje się numery, wystarczy:
- luknąć jakie idzie żądanie
- skopiować cały header "Cookie"
- napisać skrypt z ustawionym tym Cookie który w iteracjach wysyła zapytanie (jednorazowo zwracany html z 6 numerami)
- przeprasować otrzymany html jakąś biblioteką i wyłonić numer i jego id
- ściągnąć numery po określonej liczbie iteracji, posortować i zapisać do pliku np.
- wybrać numer
i teraz czynność powtarzamy, ale musimy w pętli dać warunek że jeżeli któryś z 6 wylosowanych == "nasz wybrany" to wychodzimy i robimy exit, żeby nie wysłało następnego żądania ponieważ strona serwerowa zapisuje te które nam wylosował i samo wpisanie id wybranego numeru nie wystarczy - ostatnie losowanie na parametr z Cookie określający identyfikację koszyka musi mieć ten numer żeby przeszło.
No to jak skrypt akurat wylosuje ten numer to kończy, kopiujemy id i w ukryte polu w formie go wklejamy przez np wtyczkę firebug i idzie;]
Jestem hakier rzeczy których dobrze się zabezpieczyć nie da (Czyli jawnego ajaxa) olo xD Ale trochę się namęczyłem zanim do tego wszystkiego doszedłem i się cieszę bo MAM CALKIEM FAJNY NUMER
może komuś się przyda i będzie chciał się pobawić.
Fajna historia. Typowa, bo goście sfrajerowali i nie dali żadnej captchy.
#97 Napisany 16 października 2014 - 08:28
Np. Nie sprawdzają po stronie serwera czy żądanie jest Ajaxowe, nie stosują tokenow jednorazowych do których trzeba byłoby sie naszukac i naglowic jak je grnerowac.
No bo generalnie to ajax jest jawny i raczej sie go dobrze zabezpieczyć nie da.
Ten post był edytowany przez Kurzy dnia: 16 października 2014 - 08:28
#98 Napisany 24 października 2014 - 18:20
#99 Napisany 24 października 2014 - 19:49
jeśli przez token jednorazowy rozumiesz taki token który serwer generuje, potem dokleja do strony, a potem ten token wraca, to Twój automat zamiast jednego żądania robiłby dwa, najpierw po stronę z tokenem, a potem by ten token odsyłał.Np. Nie sprawdzają po stronie serwera czy żądanie jest Ajaxowe, nie stosują tokenow jednorazowych do których trzeba byłoby sie naszukac i naglowic jak je grnerowac.
nie ma czarów, klient sam z siebie nie może niczego wyczarować czego nie dałoby się forge'ować.
i - nie da się sprawdzać po stronie serwera czy żądanie jest ajaksowe czy nie, one wyglądają tak samo na serwerze. forgeować można każde żądanie.
można było kazać się uwierzytelnić najpierw, wtedy łatwo byłoby wyłapać że to ktoś ten sam. albo właśnie dać captchę. innych sposobów wedle mojej wiedzy nie ma.
#100 Napisany 24 października 2014 - 21:20
jeśli przez token jednorazowy rozumiesz taki token który serwer generuje, potem dokleja do strony, a potem ten token wraca, to Twój automat zamiast jednego żądania robiłby dwa, najpierw po stronę z tokenem, a potem by ten token odsyłał.
Np. Nie sprawdzają po stronie serwera czy żądanie jest Ajaxowe, nie stosują tokenow jednorazowych do których trzeba byłoby sie naszukac i naglowic jak je grnerowac.
nie ma czarów, klient sam z siebie nie może niczego wyczarować czego nie dałoby się forge'ować.
i - nie da się sprawdzać po stronie serwera czy żądanie jest ajaksowe czy nie, one wyglądają tak samo na serwerze. forgeować można każde żądanie.
można było kazać się uwierzytelnić najpierw, wtedy łatwo byłoby wyłapać że to ktoś ten sam. albo właśnie dać captchę. innych sposobów wedle mojej wiedzy nie ma.
Da się sprawdzać, to jest nagłówek http, ale oczywiście można go tez dodać jeśli się wie o czymś takim.
A co do tokenow to jasne ale chodzi o to żeby jak najbardziej popsuć życie i żeby zniechęcić do zabaw.
#101 Napisany 30 października 2014 - 20:03
wykryto nową lukę w PSN.
pssite.com:
Ponad 3 lata po wielkim włamaniu do PlayStation Network, ktoś postanowił pomyszkować w zabezpieczeniach Sony i niestety - znalazł lukę, która pozwala na całkowity dostęp do danych przechowywanych na serwerach.
O sprawie poinformował niemiecki serwis Golem.de. Jak donoszą zachodni sąsiedzi, odkrycia dokonał ekspert od zabezpieczeń - Aria Akhavan. Po swoim odkryciu poinformował on Sony, ale przez 2 tygodnie nie doczekał się jakiejkolwiek odpowiedzi lub reakcji.
Błąd tkwi w bazie operującej na SQL, a całość polega na użyciu techniki SQL injection. Arkhavan testował całość na stronie Sony preparując odpowiedni link, dzięki czemu w przeglądarce wyświetliła mu się zawartość bazy danych PSN.
Ten post był edytowany przez ACZ dnia: 30 października 2014 - 20:04
#102 Napisany 30 października 2014 - 20:31
#103 Napisany 30 października 2014 - 20:32
#104 Napisany 30 października 2014 - 20:35
Jak się Forum Nikogo krzaczy, to też jakieś SQL cośtam wyskakuje.
#105 Napisany 30 października 2014 - 20:37
Niestety, ale są to dwie zupełnie różne rzeczy.
#106 Napisany 30 października 2014 - 20:45
#107 Napisany 30 października 2014 - 21:53
Sal injection :facetami: czego oni używają skoro bez specjalnego dbania o to większość technologii chroni przed tym lol.
Otóż to, jakiś partacz stringi składa sam
#108 Napisany 30 października 2014 - 22:10
<Garret>"Entity Framework - koniecznie ! Nie bedziemy przecież wyciągali danych z bazy czystym SQL-em... jak zwierzęta"
#109 Napisany 30 października 2014 - 22:20
#110 Napisany 30 października 2014 - 22:51
z Basha
#111 Napisany 05 listopada 2014 - 01:20
nowy typ ataków na bankowość internetową.
mBank pragnie zwrócić szczególną uwagę na komunikat Związku Banków Polskich dotyczący powtarzających się ataków hakerskich na klientów bankowości internetowej. Są one przeprowadzane z wykorzystaniem wirusa - trojana o nazwie roboczej Banatrix. Jego działanie uaktywnia się w przeglądarkach internetowych, takich jak: Chrome, Internet Explorer, Firefox oraz Opera. Polega na znalezieniu ciągu liczb, który odpowiada numerowi rachunku bankowego, a następnie zamianie go na inny numer rachunku podstawiony przez przestępców.
Efektem działania jest zmiana numeru rachunku bankowego w trakcie, gdy użytkownik stara się wykonać operację przelewu środków z poziomu swojego serwisu transakcyjnego. Osoba, która nie zauważy tej zmiany może przelać środki na inny rachunek bankowy, zazwyczaj założony na sfałszowane dane lub tzw. „słupa”.
#112 Napisany 05 listopada 2014 - 16:04
Coś podobnego chyba już było?
#113 Napisany 05 listopada 2014 - 16:06
znajomy to złapał ... wyczyściło mu z konta 40k ale bank niby odda
#114 Napisany 07 stycznia 2015 - 19:00
No i odpalam ten serwer jak zwykle na 8080 a tu kurde leci mi w logu całe możliwe gówno, żądania do jakichś battle.net, cośtam.square-enix.com i z piętnaście innych.
Przeniosłem się na 8081 i zrobiła się cisza.
Niewiarygodne ile śmiecia po sieci lata na tym 8080 po http i to w dodatku jakoś agresywnie sieć skanuje, że kilka sekund po otwarciu portu już właziło.
#115 Napisany 16 stycznia 2015 - 22:43
http://niebezpieczni...wartosc-dyskow/
#116 Napisany 16 stycznia 2015 - 23:39
#117 Napisany 21 stycznia 2015 - 16:41
Grube gówno, pół dnia się sram z jednym kompem w robocie, klasyczny janusz otworzył wczoraj jakiegoś maila ale ofkoz się nie przyzna i teraz wszystkie pliki mają jakieś dziwne rozszerzenie, wklepywałem to zwxcpvs czy jakoś tak w google i zero wyników, szukam, szukam nic na ten temat nie ma, w końcu w folderze Pobrane znalazłem jedyny plik graficzny który można odpalić i okazuje sie ze wszystkie pliki zaszyfrowane, zeby odszyfrowac trzeba przelac 150 usd w bitcoinach gdzies, grube gufno, podpialem swoj dysk, skopiowalem dwa pliki, probowalem otworzyc na swoim - mam nadzieje ze sie nie zawirusuje bo bym chyba umarł
ale o co chodzi
http://www.elektroda...pic2971757.html
http://www.bleepingc...decrypt_service
#118 Napisany 21 stycznia 2015 - 16:52
Nigdy nie pracuj z takim syfem poza VMem, ziom! Chociażby VirtualBoksa sobie postaw. T_T
#119 Napisany 21 stycznia 2015 - 18:57
#120 Napisany 16 lutego 2015 - 21:53
Pytanie do użytkowników poczty wp (a może i innych) : od kilku tygodni dostaję kilkanaście spamerskich maili dziennie z adresów support@(...) <- tu wstaw co dalej. Wszystkie maile z rodzaju "Zarabiaj duże pieniądze za nic". Najpierw nie zwracałam na nie uwagi, bo wp szrot przepuszcza jak rura wodę i od razu kasowałam, ale teraz to jakieś apogeum. Nie mam w zwyczaju rejestrować się gdzie popadnie, w ostatnim czasie nigdzie nie podawałam tego adresu mailowego, nie przypominam sobie, żebym trafiła w jakieś czeluści internetu, które mogłyby rzucić mi na tę skrzynkę klątwę spamerona.
W treści maili zawsze jest link ukryty w tekście. Nie klikam, bo się boję, że to jakiś mega syf Jak te maile zablokować?