Cross Site Request Forgery este o tehnica destul de veche si are legatura (dar nu in totalitate) cu Cross Site Scripting, metodele si rezultatele exploatarii fiind de multe ori diferite fata de cele din cazul XSS. CSRF poate fi folosit in diferite scopuri, unele rauvoitoare sau utile, altele pur si simplu amuzante sau enervante. Eu va voi explica doar cateva metode deja arhicunoscute.

Lectie basic
Read the rest of this entry»

Nu ne mai raportati vulnerabilitati folosind adresa de mail hackersblog.org@gmail.com. Veti avea in 2 zile un formular pe site-ul nostru prin care puteti face acest lucru.

Un concurs al orange.ro mi-a facut ziua mai senina si mi-a adus un zambet pe fata. Sa vedem intai ce zic cei de la koncurs.ro:

1. Viziteaza magazinul online orange.ro si descopera ce iti place si ce nu iti place la el.
2. Completeza formularul de pe pagina de concurs a site-ului orange.ro cu datele personale si o sugestie de imbunatatire sau scrie o sesizare privind o eroare descoperita de tine pe magazinului orange online.

Am zis ca e o greseala la mijloc si am intrat pe pagina orange.ro unde se trimit mesajele pentru concurs. Aici ce vad? Atentie la punctul 3 (cuvintele subliniate):

…deci … stii cum sa-l imbunatatim …

excelent! spune-ne-o si noua.

in ce pagina sau sectiune? ce va rezolva? pe cine va ajuta? de ce sa o implementam?
astea toate sunt intrebari care ne vor ajuta sa imbunatatim magazinul-online.

1. depune un articol in care sa ne descrii descoperirea ta.
raspunde cel putin la intrebarile de mai sus. Daca vrei, insereaza chiar imagini. (completeaza toate informatiile din formular, pentru a te putea contacta sa-ti dam premiul, in caz ca te vei regasi printre castigatori)

2. articolul tau va fi comentat / votat:
de catre ceilalti vizitatori ai sitului. numarul de voturi poate fi un indicator al impactului ideii pe care ai avut-o, iar impactul este unul din criteriile de jurizare.
comentariile venite pe articolul tau vor da valoare articolului tau deci… nu uita sa raspunzi comentariilor. vei avea astfel mai multe sanse sa fii castigator.

3. juriul va delibera:
si va premia cele mai bune articole depuse (fie ele buguri sau idei de imbunatatire). Daca vei fi printre castigatori, vei primi un laptop.

Pot sa completez eu randurile scrise de cei de la Orange? Trimite-ne informatii despre bug-uri din sistemul nostru si vei castiga un sejur la puscarie pe care tot tu il vei plati in functie de daunele (inexistente) provocate.

Spun asta dupa ce iubitii reprezentati Orange din Franta ne-au asigurat ca ne cheama in instanta si au dat Google in judecata pentru a ne citi corespondenta PRIVATA de pe contul hackersblog.org@gmail.com, pentru a afla ip-urile celor care ne-au trimis mesajele si ale celor care s-au logat pe acel cont. Nu ne-au cerut noua informatii despre pentesterii care ne-au raportat vulnerabilitatile, dar au zis ei ca e mai bine sa violeze corespondenta unui site folosindu-se de legislatia din Franta. Ca doar sunt o companie imensa. Pacat de munca pe care o vor depune, pentru ca acele mesaje din mail disculpa stafful HackersBlog mai mult ca orice altceva. Oricum, asta e o alta poveste.

Sfatul meu? Decat sa ii faceti un bine unei firme ce va da in judecata daca ii raportati o vulnerabilitate majora, mai bine va bagati un bat in partea dorsala. E mult mai placut si mai satisfacator

Orange sucks!

Revenim cu articole lejere pe blog. E weekend si trebuie sa ne relaxam.

Un prieten mi-a trimis link catre un nou joculet romanesc. Premii, chestii, trestii, totul bazandu-se pe accesarea unui url. Cand cineva imi acceseaza linkul personal mi se mai adauga un dolar. Simplu nu? Atat de simplu incat folosind un truc poti ajunge pe primul loc in top fara prea mare durere de cap. A da. Si sa castigi un premiu

Read the rest of this entry»

Am citit aici un articol despre situatia magazinelor online din Romania. Mi-a atras atentia urmatorul rand:

nici un magazin din Romania nu stocheaza datele despre cartile de debit/credit pentru ca nu are de ce – procesarea platilor se face extern iar datele pot fi decat introduse de cumparator.

Eczista o problema. Daca procesarea platilor se face printr-un sistem extern dar formularul se afla pe paginile shop-ului, o vulnerabilitate ce ofera posibilitatea de modificare a datelor de pe serverul unde este shop-ul hostat ii poate permite unui atacator sa introduca inca un form in acel formular care ii va trimite si lui datele completate de catre clienti. Chiar si un SQL Injection permite in destule cazuri acces mare pe server asa ca nu e de glumit cu vulnerabilitatile antice dar intalnite la tot pasul.

Deci folosirea procesarii externe nu garanteaza neaparat securitatea datelor de pe card.

Ceea ce va voi arata in acest articol este super secret si nimeni nu stie de metoda respectiva. <= LOL

Cookie stuffing este una dintre cele mai simple si intalnite modalitati de a pacali sistemele de afiliere. Versiunea simpla necesita pentru functionare un site pe care sa il inscrieti in sistemul de afiliere si introducerea in paginile acestui site a unui cod html.

Sa dau mai multe explicatii sau sa trec direct la demo?

Sa spunem ca site-ul http://emanuelgrigoras.ro/ imi apartine. Scuze Emanuel dar nu am gasit la ora asta pe altul care sa fie afiliat la eMAG. Cu un simplu click dreapta pe reclama eMAG si copy link voi descoperi minunea. Pot sa copiez linkul care le seteaza oamenilor cookie-ul meu de afiliat.

Iau una bucata link si ii mai adaug niste chestii la inceput si la sfarsit. Adica ceva de genul:

<img src=http://LinkulMeuDeAfiliatCopiatMaiDevreme>

Toata dracia asta o adaug in codul html de pe indexul meu. Pot sa folosesc ca alternativa si “<iframe src”, GET in swf si alte chestii ca nu se supara nimeni. Ce se intampla dupa?

Toti vizitatorii de pe site-ul meu isi vor seta automat cookie-ul meu de afiliat, fara a da click pe bannere, iar in cazul in care cumpara in decurs de 30 de zile ceva de pe eMAG.ro eu voi primi acel fabulos comision de 3%.

Dar ce se intampla cu cei care deja au deja setate cookie-urile altor afiliati? Oare pot face ceva pentru a beneficia tot eu de respectivul procent? Yeah, I can, I can.

Cu ajutorul javascript se pot seta, sterge, suprascrie, cookie-urile din browsere. Am vrut sa fac un proof of concept dar sincer mi-a fost lene. Deci ca sa putem folosi minunatul javascript pentru a suprascrie cookies deja existente este nevoie de un xss in site-ul eMAG. Exista oare? Cautam timp de 20 de secunde (Google we love you) si gasim asta:

http://info.emag.ro/?action=search?suchbegriff=%22%3E%3Cscript%3Ealert(101)%3C%2Fscript%3E&x=0&y=0

In rest e simplu. http://info.emag.ro/?action=search?suchbegriff=”><script>document.cookie= parametri, chestii, dude etc etc si incheiem cu </script>. Totul introdus in site-ul folosit la afilierea cu eMAG. Explicatiile amanuntite despre modificarea unui cookie se afla pe sute de site-uri asa ca le veti gasi extrem de rapid.

Damn, am uitat sa precizez. Referrer va fi cel corect din moment ce codul html e prezent pe site-ul meu. Oare verifica cineva manual codurile sursa din paginile afiliatilor pentru a inchide conturile folosite la cookie stuffing? Ramane o enigma.

Solutii la aceasta problema? Azi nu oferim.

Astazi vom discuta putin despre serviciile oferite de StatusPimp.ro.

StatusPimp este o idee de advertising geniala pot spune si cu siguranta va fi folosita pentru a promova anumite site-uri. Insa ca orice proiect aflat la inceput exista si multe hibe.

Pimperii sunt cei care isi instaleaza softul pe calculator si servesc intregii liste de messenger statusuri cu linkuri. Cine da click pe acel link ii aduce profit pimper-ului. Sa zicem ca e un fel de adsense pentru utilizatorii de IM.

Acum sa discutam despre eventualele probleme. Incepem cu masurile antifrauda.

Dacă un link către o campanie are referral atunci se ignoră. Adică dacă linkul este postat pe un forum sau blog automat îl descalificăm, iar site-ul de pe care vine utilizatorul este adăugat în baza de date.
Read the rest of this entry»

It looks like Orange is taking legal actions against hackersblog.org. Why? Because we published vulns in Orange websites submitted by you guys, after we notified them (Orange) that some people (probably hundreds) are playing with their db’s. So this is french democracy and freedom of speech. Damn, sometimes i’m so glad that i’m romanian.

Brb with fresh news after we talk with our lawyers.

Nu cred ca ar fi prea multe lucruri de spus cand e vorba de vulnerabilitatile gasite de “unu”. Se pare ca pasiunea lui pentru gasirea problemelor din site-uri aduce aproape zilnic in prim plan nume grele din online.

De aceasta data revenim la categoria site-uri de televiziuni si anume antena1.ro. Vezi Piticule,  nu doar realitatea.net a prezentat interes pentru “unu”.

Metoda de exploatare folosita in acest caz de “unu” a fost SQL Injection, insa de aceasta data se puteau face mai multe decat extragerea userilor. Pentru ca load_file este permis, includerea unui shell era extrem de simpla si putea duce la full access pe serverul ce gazduieste antena1.ro.

Am primit in mail de la unu mai multe imagini ce ne arata cum fiecare serviciu oferit de antena1 pe paginile sale, pune la dispozitia doritorilor datele userilor sai. O sa afisez doar o parte din imagini (cenzurate), pentru a proteja identitatea persoanelor afectate.

In cazul in care aveti cont sau date personale pe site-ul antena1.ro va sfatuim sa va schimbati parola si eventual restul datelor stocate in baza de date (CNP, adresa etc.) daca este posibil si nu provoaca neplaceri acest lucru.

Admin password

CV-uri

CNP si date utilizator

Forum users

Xcart orders

Reactia antena1  la actiunile lui “unu”

“unu” ne-a confirmat ca problema a fost rezolvata foarte rapid de catre administratia antena1.ro, dar le recomanda un audit asupra intregului site deoarece mai exista si alti parametri vulnerabili.

Vulnerabilitate trimisa de catre “unu”.

Nota: Hackersblog nu a fost implicat in nicio actiune de pentesting intreprinsa asupra acestui site. Toate informatiile si datele publicate pe acest blog au fost primite de la un vizitator al blogului nostru si au fost cenzurate pentru a proteja datele personale ale celor afectati. Stafful Hackersblog.org NU VA RECOMANDA si NU VA INDEAMNA sa testati securitatea unui site fara a avea in prealabil acordul proprietarului de drept al domeniului respectiv.