Wpis z mikrobloga

Hipotezy w sprawie #afera #aferabotowa

1. Pozyskanie loginow i hasel czesci kont
A. Przez kradziez (byly pracownik, backupy, etc.) - bylaby duża skala
B. Przez włamanie (SQLi i łamanie haszy) - wtedy "botami" tylko Mirki o słabych hasłach, przynajmniej na początku
C. Przez korelacje haseł pochodzących z wycieku/kradzieży z innego serwisu, np. PSN, AshleyMadison ( ͡° ͜ʖ ͡°), etc - wtedy ofiarami Mirki ktore mialy hasło takie samo jak w innym serwisie (nieunikatowe)
D. Przez phishing - wtedy Mirki musiały by się dać nabrać na lewą stronę logowania / apkę mobilną, ale przecież Mirki ain't no idiots! ;)

2. Wykonanie ataku MITM:
A. Przez sniffing tokenów sesyjnych - wtedy Mirkami ofiarami/botami powinni byłyby osoby korzystające z tego samego ISP, sieci, np. z lubelskiego akademika
B. Przez rewrite żądania http - wtedy Mirki które były ofiarami chciały kopnąć X a kopnęły Y (coś musiały robić w okresie "ataku", bezczynny Mirek nie zostałby ubotowiony)

3. Atak CSRF i/lub XSS
A. Przez źle zaimplementowane tokeny antycsrf - Mirki musiały odwiedzić w okresie ataku inną stronę, która zawierała złośliwy kod ataku (np. demotywatory albo pornhub)
B. Przez XSS na Wykopie - gdzieś na Mirko albo wykopalisku/głównej jest możliwość wstrzyknięcia JS które sterowało atakiem i uruchamiało się u Mirków które na ten wykopowy obszar wlazły (kiedyś xss był w tagach do znalezisk.

4. Inny błąd w API/serwisie
A. Przez podatność pozwalająca na eskalację poziomą (X ma dostęp do akcji które wykonać powinien móc tylko Y, np. Indirect Object Reference)
B. Przez podmianę w żądaniu API id Mirka odpowiedzialnego za wykonanie danej akcji

5. Spisek! Nawet bordo to boty - ktos je wszystkie przez lata hodował przez lata czekając na tegoroczną edycję Lubelskich Dni Informatyki :)

6(66). Szatan

PS. Jeśli funkcja pokazująca aktualnie zalogowane sesje posiada błędy (a może pewnych sytuacji nie uwzględniać, np. odkładać IP tylko w trakcie logowania hasłem przez www) to nie da się jej wykorzystać do obalenia/potwierdzenia którejś z powyższych hipotez (bo np. w 2A z dostępem przez inny IP tego faktu nie pokaże)

#hacking #hackingnews #bezpieczenstwo #security #niebezpiecznik
  • 134
@niebezpiecznik-pl: Przecież na tym portalu jest tyle błędów, że może po prostu ktoś odszukał gdzieś jakiś panel admina i tyle.
Od kilku dni powiadomienia o tagach pokazują się po kilku godzinach, tutaj jakieś kolejne błędy z systemem dodawania znalezisk: http://www.wykop.pl/wpis/23614367/jeden-z-bugow-na-wykopie-q-hacking-itsecurity-wyko/ i jeszcze masa innych archiwalnych błędów. Tutaj wszystko jest możliwe...