Poważny bug na Allegro!

Yelonek 4 lata 7 mies. temu +1

Możesz dokładniej to opisać ? Nie zamierzam licytować jeśli to w jakikolwiek sposób jest niebezpieczne. Poza tym licytacja osiągnęła 1000 zł. :]

#

pokaż komentarz

dandys997 4 lata 7 mies. temu 0

Naciśnij przycisk "Licytuj" i zobacz. Albo najedź na niego i sprawdź odnośnik.

#

pokaż komentarz

krejd 4 lata 7 mies. temu -1

Nie wystarczy :P

#

pokaż komentarz

narmo 4 lata 7 mies. temu -1

Powinni parsować lub filtrować treść opisów aukcji i zabronić stosowania niebezpiecznych właściwości css, albo nawet posunąć się dalej i pozwolić tylko na jakiś swój markup - np. bbcode, albo wikitext.

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

pomysł z bbcode - nie jest taki zły.

..ale co zrobisz gdy ktoś zechce sobie zrobić szablonik?

Moim zdaniem powinien być jakiś aukcjo-mejker. Allegro.pl - duża firma, na pewno ich stac na zrobienie czegoś takowego, chociażby w JS.

Mała rzecz - a ułatwi im życie i to baaaa[..]aaaardzo:)

#

pokaż komentarz

nilhir 4 lata 7 mies. temu 0

Taaa bo wszedłeś tam wiedząc, ze jest jakiś podstęp ale ciekawe czy byś sie zorientował normalnie przez allegro wchodząc na jakąś interesującą cie aukcje.

#

pokaż komentarz

ochach 4 lata 7 mies. temu 0

u mnie tez w zarchiwizowanej aukcji dostrzegam jak przez jakies nanosekundy pojawia sie inny przycisk

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

nanosekundy.. a wyczytałem gdzieś że oko ludzie reaguje nieco wolniej:P

HeHe => nawet mój komp ma problem z odliczeniem nanosekundy:P

Kolejny człowiek z refleksem.. tym razem z giga-refleksem :)

..no ale dobra.. odczekajmy:

;)

#

pokaż komentarz

Tong 4 lata 7 mies. temu 0

Gdyby spojrzeć pod kątem socjologii czytając te komentarze można dojść do wniosku że
USERÓW i SPOŁECZNOŚĆ WYKOPU STANOWIĄ ZIOMY W TEMACIE :)
Bardzo mi się podoba że taka ilość ludzi zajmujących się reklamą oraz branżą IT, a w szczególnosci webdesignem, SEO, e-biz/commerce, marketingiem gromadzi się w jednym miejscu.

#

pokaż komentarz

uzytkownik 4 lata 7 mies. temu 0

> USERÓW i SPOŁECZNOŚĆ WYKOPU STANOWIĄ ZIOMY W TEMACIE

A po polsku? Powiem szczerze - nie rozumiem...

#

pokaż komentarz

_xis_ 4 lata 7 mies. temu 0

Bo nie jesteś w temacie ziom :)

#

pokaż komentarz

kosa 4 lata 7 mies. temu 0

co ty gadasz, my tylko z lopatami biegamy;) a o css to raczej sporo osob ma jakies pojecie, takze komentarze jak najbardziej na miejscu sa

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

sirTong - spokojnie. Nie ma co się unosić. Popatrz na dział: Technologia / Internet.

Wiadomo że ten dział nie będzie skupiał lekarzy ani sprzątaczek:P

..swoją drogą - to musimy się gdzieś zamelinować;)

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

tato Kevin napisał kiedyś: 'Łamałem ludzi - nie hasła'
Tak było i w tym przypadku.

Jest dziura - będzie i łata. Spokojnie - aukcje na allegro.pl nadal są bezpieczne" ;)

[edit]
Zakopujmy - może się nie dowiedzą a my to wykorzystamy na włąsną korzyść? Np. im to sprzedamy?:) Oj, Oj.. nikt o tym ni pomyślał :/ HeHeHe :P

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

Zakopano :P Teraz wszyscy łopatki i grzecznie machamy :).

Aukcje były i są bezpieczne. Co najwyżej loginy i hasła mogą być w niebezpieczeństwie...

#

pokaż komentarz

wtk_ 4 lata 7 mies. temu 0

naprawdę interesujące.. kolejny policzek dla allegro :)

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

heh.. cyz ja wiem - czy to 'policzek dla allegro.pl'?

Może raczej nauczka - że nie wolno dawazć ludziom takiej swobody.

Obstaję przy swoim - czyli stworzenie ManageraAukcji - który pozwalałby na tworzenie takowych - w jakimś przyjaznym GUI, i dokładniejszym parsowaniem.

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

Allegro pewnie managera nie zrobi. Pewnie nawet i css połata na szybko i to czas reakcji ~miesiąc... Bardzo powoli dodają różne nowości i ulepszenia w alle. Pamięta ktoś że kiedyś domyślne logowanie byłe zwykłe a nie SSL? I takie coś poprawiali też baaardzo długo.... To jednak jest duży serwis i każda zmiana czy poprawka - musi być dogłebnie zanalizowana...

#

pokaż komentarz

niedakh 4 lata 7 mies. temu 0

predzej zle zarzadzany kod, ktory dawno temu nalezalo przepisac od zera moim zdaniem.

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

kodu nie zmienią.. zbyt globalne zmiany.

Conajwyżej przerobią jakieś moduły - bo po co czepiać się reszty, pchać się w koszty - skoro działa? :/

A co do szybkości i analizy zmian - to racja.. pracowałem kiedyś dla dużej firmy [porównywalna z allegro.pl - a może nawet większa, trudno porównać bo to inna branża]. Telefonów 1,5 tygodnia a wdrożenia 15 minut. Trzeba brać pod uwagę fakt, że takie globalne zmiany mogą źle wpłynąć na istniejące już i działające poprawnie aukcje. A zatem filtrowanie takich elementów może odbywać się na dobrą miarę dopiero przy dodawaniu. Tak więc nam - użytkownikom allegro.pl nie pozostaje nic innego jak mieć się na baczności i przeglądać aukcje uważnie przed podjęciem jakiegokolwiek działania.

Dzisiaj aukcja-test, obrazująca możliwe przekręty, a jutro może ktoś podrobić logowanie i sprzedawać coś z Twojego konta.

Dojść - bez liku.
Dajmy na to wspominane przeze mnie wcześniej domeny.

- a1legro.pl
- al1egro.pl
- a11egro.pl [zarejestrowana !]
- allego.pl
- a11ego.pl
- itd..

Uważajcie - bo różnica niewielka,a ciężko takie coś zauważyć!

#

pokaż komentarz

skinny500 4 lata 7 mies. temu 0

Może napisać do hacking.pl i niech to bardziej nagłośnią?

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

e tam.. nie ma co nagłaśniać

..a hacking.pl i tak się dowie..

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

zieeew, nie ma co się spieszyć, hacking ma zawsze nieaktualne linki, niech aukcję najpierw zdejmą to się im linka podaruje... :)

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

HeHe.. dlatego właśnie zazwyczaj operują na screenach;)

Oj szkoda, szkoda - a kiedyś to była tak fajna stronka:/

#

pokaż komentarz

krejd 4 lata 7 mies. temu 0

Witam,

Dziękuję za wiadomość.

Uprzejmie informuję, że Pańskie zgłoszenie zostało przekazane do Działu Technicznego naszego serwisu, który sprawdzi kompleksowo opisywaną sytuację.
W najbliższym czasie sprawa powinna zostać wyjaśniona.

Jednocześnie chciałbym podziękować za szczegółowe wyjaśnienia. Mogą one okazać się bardzo pomocne.

Pozdrawiam serdecznie,

--
Bartłomiej Leszczyński
Zespół Allegro
http://www.allegro.pl

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

No to się napisali i docenili cholernie Twoją ciężką robotę... :/

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

Jaką 'ciężką robotę'? Chyba raczej pomysłowość:P

#

pokaż komentarz

dandys997 4 lata 7 mies. temu 0

http://archi.inos.int.pl/db/item212429301_1.html
Tutaj link do archiwizatora, gdyby usunęli.

#

pokaż komentarz

rotare 4 lata 7 mies. temu 0

Jestem ciekaw jaka będzie reakcja Allegro ;).
Generator aukcji IMO na pewno nie zostanie stworzony.

A propos - efekt jest jeszcze "lepszy", po zastosowaniu zamiast obrazka buttona, div w którego treści znajdować będzie się button - wtedy zrodlo nie jest podawane, wiec o fake mozna dowiedziec sie tylko z pasku adresu. Oczywiscie testowac na lokalhoscie ;p

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

lepiej: na przycisku..

#

pokaż komentarz

tiraeth 4 lata 7 mies. temu 0

A czy nie wystarczy z-index na elementach głównych allegro oraz zablokowanie , tak aby pozostały tylko stylu zagnieżdżone (style="") :>

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

ojej... Adriano. Jak Ty nas trzymasz w niepewności, normalnie kocham seriale w odcinkach... Dziura jest dziurą, a jak pracownicy alle o tym wiedzieli wczesniej ALE NIC NIE ZROBILI w tym temacie bo nikt tego nie nagłaśniał - to chyba nie zbyt dobrze o nich świadczy prawda? Jest błąd to go trzeba załatać a nie zapominac o nim i mieć nadzieje że nikt go nie odkryje...

#

pokaż komentarz

feedel 4 lata 7 mies. temu 0

Poinformujemy Pana o poczynionych krokach. - powinno być w standardzie.

#

pokaż komentarz

krejd 4 lata 7 mies. temu 0

Powinno ;).

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

..ale nie będzie:P

krejd - jesteś osobą postronną, więc nie oczekuj kokosów. Odkryłeś lukę, ale to nie oznacza że od razu staniesz się właścicielem allegro.pl;)

Co najwyżej będziesz mógł sprzedać paczkę żelków za darmo - bez prowizji ;) Albo roczną prenumeratę newslettera ;)

#

pokaż komentarz

krejd 4 lata 7 mies. temu 0

Tak, ale liczyłem na mniejszą ignorancję ze strony Allegro. A tu tylko "ojej, Allegro przyjęło do wiadomości, cześć!" :P.

#

pokaż komentarz

Adriano 4 lata 7 mies. temu 0

Pracownicy Allegro od dawna wiedzieli o tym bugu, który dopiero teraz został ponownie 'odkryty'.

Więcej napisze jutro ...

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

..ależ fascynująca wypowiedź.

'Kali włożył rękę do paszy lwa.. - czy wykrwawi się na maksa zobaczycie w następnym odcinku.'

Czekamy na ciąg dalszy fascynującej opowieści o niezałatanej dziurze:P

#

pokaż komentarz

Wilk 4 lata 7 mies. temu 0

Poszukaj na aukcje.org

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

Zależy od łącza internetowego zapewne ;D Jaki masz pakiet? U mnie pod Operą wczytuje całość... Pod FF też...

#

pokaż komentarz

migawka 4 lata 7 mies. temu 0

chodzi o dl speed? 1MB/s, chodz teraz w nocy x2. ale ISP jest chyba kiepski, bo strony rzadko kiedy laduja sie od razu w calosci

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

Hm u mojego ISP u którego w sumie pracuje to mamy squida :) Może jakieś proxy by się przydało żeby smigało na "jeden zamach" ustawić? :).

Albo może masz inaczej skonfigurowaną przeglądarkę lub inną wersję... Ja mam [Wersja: 9.02, Kompilacja:8585]

#

pokaż komentarz

migawka 4 lata 7 mies. temu 0

nowszą, 9.21 8776

jak proxy pomoze jak to jest ograniczenie wynikajace z jakosci łącz?

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

Proxy - jak masz jakieś u swojego ISP - odeśle Ci całą stronę od razu i nie zauważysz mignięcia - czyli biała strona wczytywanie, wczytywanie, myk jest www. A nie jak bez proxy - pokolei się elementy pokazują...

#

pokaż komentarz

migawka 4 lata 7 mies. temu 0

czyli jak moj ISP mialby postawione proxy?

hehe, nie podejrzewam ich o to.
dzieki temu moglem zrobic tego screena, to sa zalety korzystania z mojego ISP :D

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

panowie.. ta rozmowa jest raczej na PW niż na wykop:P

#

pokaż komentarz

migawka 4 lata 7 mies. temu 0

zanim nalozy warstwe "phishingowa" jest ulamek sekundy (przynajmniej u mnie na Operze :) i mozna zobaczyc "oryginal" Allegro (screen):
http://img111.imageshack.us/img111/5524/nokija5510rv0.jpg

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

lol - gratuluję błyskawicznego refleksu [m@trix]:P

#

pokaż komentarz

Tranquil 4 lata 7 mies. temu 0

Jakim cudem to #kurde przeszło. Trochę wstyd dla Allegro.

#

pokaż komentarz

mles 4 lata 7 mies. temu 0

#kurde jak #kurde, konkretniej to raczej jakim cudem "position: absolute" przeszło... :)

a przy okazji, ciekawy...
#myk :>

#

pokaż komentarz

pawlik 4 lata 7 mies. temu 0

Blah. Czepialstwo.

#

pokaż komentarz

krejd 4 lata 7 mies. temu 0

Jestem autorem tej aukcji. Widocznie mam "chamskich" znajomych na Gadu-Gadu, bo prosiłem, aby nie publikowali tej aukcji. Wystosowałem list do Allegro o błędzie w zabezpieczeniach.

#

pokaż komentarz

MiKeyCo 4 lata 7 mies. temu 0

Myślę, że upublicznienie tego faktu ma korzystny wpływ. A Ciebie może może uchronić przed przykrymi konsekwencjami.

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

spoko.. nic się wielkiego nie stało. Dobrze że ta informacja wyszła na jaw. Co by było gdyby przycisk przenosił na stronę a11egro.pl gdzie wykradano by hasło?

Gratuluję pomysłowości.. całkiem niezła sztuczka;)

#

pokaż komentarz

chlitto 4 lata 7 mies. temu 0

jeszcze podmieniono dane sprzedajacego...

#

pokaż komentarz

Pixo 4 lata 7 mies. temu 0

Nie mam konta na Allegro i po wpisaniu obojętnie jakiej kwoty (także po kliknięciu linków niby do panelu) po prostu przerzuca na adres: http://www.jakas-niebezpieczna-strona.phishingowa/

#

pokaż komentarz

wicikumoza 4 lata 7 mies. temu 0

Słowacki wielkim poetą był :P
Podmieniony guziczek, na szczęście Firefox pokazuje adres odnośnika w pasku stanu (chociaż kiedyś na śp. t-nas był link stworzony przez zagnieżdżanie , w ten sposób że po najechaniu na niego w pasku stanu i tak nie widzieliśmy podejrzanego adresu). Co nie zmienia faktu że dziura niebezpieczna.
W dodatku zapisuje jakieś ciasteczka bo allegro głupieje i pokazuje że jesteśmy zalogowani.

#

pokaż komentarz

krejd 4 lata 7 mies. temu 0

Nie zapisuje żadnych ciasteczek.

#

pokaż komentarz

wicikumoza 4 lata 7 mies. temu 0

fakt dopiero teraz sprawdziłem czy faktycznie mam rację :X

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

hmm.. no spoko.. ale to tylko przykład.

W rzeczywistości można zrobić tak, że adres będzie pozornie ten sam, a przeniesie Cię gdzie indziej:P

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

krejd, chciałem Cię publicznie przeprosić za to. Może kiedyś mi wybaczysz, ale uważałem że trzeba o tym poinformowac ludzi. Może źle zrobiłem, przepraszam ;c

#

pokaż komentarz

Wujo 4 lata 7 mies. temu 0

Z tym, że grafika guzika zależy od przeglądarki i od motywu w systemie operacyjnym, więc jak ktoś jest uważny, to się domyśli ;) .

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

powiedz to reszcie internautów..

"uważajcie w jakie bATon'y klikacie"

HaHa

#

pokaż komentarz

uzytkownik 4 lata 7 mies. temu 0

Większym problemem są różne interpretacje CSS...

#

pokaż komentarz

tliff 4 lata 7 mies. temu 0

sprobujcie zalicytowac.. i pozniej bede placil 1000 zlotych za jakas cegle?
Jesli to proba wyludzenia pieniedzy (1000 zlotych) to podchodzi pod paragraf.

#

pokaż komentarz

dandys997 4 lata 7 mies. temu 0

Kolego, tylko naciśnij "Licytuj" i spróbuj - jak nie wiesz, o co chodzi, to się nie pień tak.

#

pokaż komentarz

FriQ 4 lata 7 mies. temu 0

o k$!#a...

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

Komentarz roku...

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

po raz 7 - żałuję z całego serca, że nie da się wykopywać komentarzy :P

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

Ughost - jestes z UOPu czy cos? W magiczny sposob numer Gg sie wlasnie pojawil na Twoim profilu oraz www i reszta danych... Powiało grozą... :)

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

..a jakoś tak - kiedyś przy małej wpadce z tepsą skasowałem - bo co prawda, delikatnie przegiąłem :P

#

pokaż komentarz

Agent_Microsoftu 4 lata 7 mies. temu 0

Też CSS ćwiczyłeś pewnie na stronie telekomunikacja[.]pl, ale Cie ułaskawili? :) Wystraszyłeś tym nagłym pojawieniem się GG w Twoim profilu jedną osobę... ^^

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

Nie, opublikowałem screena z tpsa - znalezionego przypadkiem w sieci.. z intranetu. Poleciał w przeciągu 5min z serwa, razem z moimi nerwami :P

#

pokaż komentarz

Cropeck 4 lata 7 mies. temu 0

w moim przypadku kursor zdradzil podstęp :P

#

pokaż komentarz

ughost 4 lata 7 mies. temu -1

Rotfl.. :)

Cropeck - wymiatasz;)

..co Ci jeszcze powiedział?

#

pokaż komentarz

Cropeck 4 lata 7 mies. temu 0

zamienil sie w łapę i krzyknął HALT! :D ale to tez w stylach mozna zmienic...

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

Dobrze że nie 'hei Hit.. :P

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

Swoją drogą nie wiem czy aż 'taki poważny'.

..co gorsza - weź to omiń, bo niby jak?. Parsować? Można.. ale.. co ze atrybutem style="" ? No ciekaw jestem jak to rozwiążą haXiory z allegro.

Dla ciekawskich:

Z tego co wyłapałem autor posta zakrywa swoją warstwą szablon strony allegro - nic trudnego, można by zrobić o wiele więcej np z javascript (ukryć tamte elementy. No ale oki).

css [polecam przeczytać jakiś kurs css w necie żeby dojść do sedna - dla tych co nie wiedzą z czym to 'się je']:

kurde {width:100%; position:absolute; top:0px; left:0px; margin:4px; padding:0px; background-color:white; margin-top:22px;}

Ciekawy pomysł.

Chwała Ci za to że dałeś znać gadułom.

[edit]
poprawione - sorx (niewiedza) :P

#

pokaż komentarz

jaceks 4 lata 7 mies. temu 0

powieksz bardziej kawalek z kodem bo nie widze.... :>

#

pokaż komentarz

krejd 4 lata 7 mies. temu 0

Zabroniony jest javascript na Allegro. Próbowałem ;). Znacznik także.

[edit]
onMOUSEcokolwiek też nie wchodzi :). Sprawdzałem wiele kombinacji.

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

HaHa.. kocham wykop.. i jego tajemnice (bugi):P

[edit:add]

Buuu.. szkoda.

Nie wiedziałem że allegro.pl nie lubi js:(

..a JS - umieszczony w CSS rabotajet? [albo: onmouseover="javascript: alert('Kabooooomm!!:)');"]

[edit2:add]

krejd - zastukaj do mnie [GG], to nie rozmowa na wykop.. dużo by tu pisać

#

pokaż komentarz

vadit 4 lata 7 mies. temu 0

marginesów ujemnych też nie daje rady zastosować, próbowałem ;)

#

pokaż komentarz

krejd 4 lata 7 mies. temu 0

Też próbowałem ;P

#

pokaż komentarz

Adriano 4 lata 7 mies. temu 0

Wystarczy zablokować position: absolute / relative, oraz elementom stałym takim jak menu, czy formularz nadać unikalne klasy i zabronić ich stylowania.

Jednak moje rozwiązanie i tak nie będzie skuteczne w 100%.

Allegro + CSS = ryzyko (zawsze)

#

pokaż komentarz

ughost 4 lata 7 mies. temu 0

..jak zabronisz ich stylowania? setInterval w javascript?

Wyobrażasz sobie dobre layouty aukcji bez position? Porażka.

Allegro + CSS (+ JS) = XSS ?:)

#

pokaż komentarz

Wilk 4 lata 7 mies. temu 0

czy chodzi o to, ze mimo niezalogowania widac na gorze ikone wyloguj ? (na innych aukcjach tak nie ma, wiec to chyba nie awaria allegra, tylko cos wlasnie na tej aukcji)

#

pokaż komentarz

uzytkownik 4 lata 7 mies. temu 0

U mnie są dwa:
http://img529.imageshack.us/img529/6104/testoj9.th.png"
http://img529.imageshack.us/my.php?image=testoj9.png

#

pokaż komentarz