Widzę, że luka wykryta przez Robotnika też została już załatana. Zauważcie, że do każdego linku dodawany jest unikatowy kod przypisany do indywidualnej sesji usera.
Teraz samowykopujący się wykop juz nie przejdzie. :)
@robotnik: bez przesady, wszedzie? A wina jest tego kto pisał ten moduł. Poza tym jakby by był jakis scentralizowany obiekt "Requesta" przez który szły by dane to by wycinali to co nie potrzebnne wszedzie gdzie to potrzebne. Widać, że tak nei jest...
Niektóre CSRF-y nadal działają... Co powiecie na możliwość stworzenia linka, który usunie ofierze wszystkie fotki, gdy tylko w niego kliknie będąc zalogowana na tym jakże wspaniałym portalu i nawet nie zauważy, że coś się stało (póki nie wejdzie do galerii)? Dziecinnie proste i jaki ubaw
Akurat dorośli ludzie zarabiają na tym na prawdę duże pieniądze ;)
Spam, kradzieże haseł bankowych, kradzieże numerów kart płatniczych, a nawet kont w grach MMORPG to dochodowy sposób zarobku. W dodatku w tej "branży" powstaje biznesowy model współpracy. Ci którzy są na górze i mają pieniądze zatrudniają innych do tworzenia aplikacji, albo do ich rozsyłania. I tak powstały firmy, które łamią CAPTCHa, płacą za unikalną maszynę, na której zainstaluje się rootkita itd.
Zastanawia mnie, po co komu hackować taki serwis jak wykop, bo sensu to najmniejszego nie ma raczej ... Błędy zawsze się tam jakieś zdarzają, ale przecież Wykop to taki manualny agregator linków z systemem oceniania, który służy ludziom i na dodatek jest darmowy - ja rozumiem, że luki trzeba naprawiać, ale ktoś musiałby być niesamowitym frustratem, żeby włamywać się i mieszać w serwisie.
Fakt, ale wydaje mi się, że dorośli ludzie nie zajmują się raczej takimi pierdołami. Ja jestem chyba po prostu nie na czasie i wydaje mi się, że to całe hackowanie, exploity, DDoSy i inne pierdoły to zabawa taka sama jak siedzenie w piaskownicy i sypanie komuś piaskiem w oczy dla frajdy ... Minęły już czasy, kiedy hackerzy wykradali dane dla idei, aby każdy miał dostęp do informacji. Teraz hackują głównie z głupoty
Powodów multum. Wykop ma bardzo dużą oglądalność, więc można pokusić się o wrzucenie gdzieniegdzie exploita albo o zDDoSowanie "wykopowiczami" jakiegoś serwisu.
Komentarze (41)
najlepsze
Widzę, że luka wykryta przez Robotnika też została już załatana. Zauważcie, że do każdego linku dodawany jest unikatowy kod przypisany do indywidualnej sesji usera.
Teraz samowykopujący się wykop juz nie przejdzie. :)
Edit: ups, przepraszam - http://www.wykop.pl/link/94999/wazne-stop-cenzurze#comment-502532
@robotnik: bez przesady, wszedzie? A wina jest tego kto pisał ten moduł. Poza tym jakby by był jakis scentralizowany obiekt "Requesta" przez który szły by dane to by wycinali to co nie potrzebnne wszedzie gdzie to potrzebne. Widać, że tak nei jest...
I naprawdę można się nieźle tym pobawić...
W ramach przykładu (luki załatane):
http://scissor.hehehe.pl/
http://dioda191.hehehe.pl/
http://www.ninfo.pl/security/2008/08/15/epulspl-koniec-zabawy/
http://jasisz.jogger.pl/2007/03/04/gnebienia-epulsa-ciag-dalszy/
http://jasisz.jogger.pl/2007/03/08/epuls-pl-i-csrf-raz-jeszcze/
Niektóre CSRF-y nadal działają... Co powiecie na możliwość stworzenia linka, który usunie ofierze wszystkie fotki, gdy tylko w niego kliknie będąc zalogowana na tym jakże wspaniałym portalu i nawet nie zauważy, że coś się stało (póki nie wejdzie do galerii)? Dziecinnie proste i jaki ubaw
Spam, kradzieże haseł bankowych, kradzieże numerów kart płatniczych, a nawet kont w grach MMORPG to dochodowy sposób zarobku. W dodatku w tej "branży" powstaje biznesowy model współpracy. Ci którzy są na górze i mają pieniądze zatrudniają innych do tworzenia aplikacji, albo do ich rozsyłania. I tak powstały firmy, które łamią CAPTCHa, płacą za unikalną maszynę, na której zainstaluje się rootkita itd.
[ ] Twoja stara
Wybór należy do ciebie