- Apocalipsa dupa Nemessis
- Cand dorinta de afirmare depaseste granitele bunului simt – PaxNwo un leecher ordinar
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac?
- Experiment social II – andimoisescu.ro
- Pentru posteritate
- In curand…
- “Hot” de id-uri messenger
- Chiar ca sunteti retardati
- Ce nu se invata la scoala – Vendetta (6)
- Apocalipsa dupa Nemessis in (81 Visits)
- Ce servicii de mail folositi? in (27 Visits)
- This is the end in (23 Visits)
- Hackersblog.org is now blog.rstcenter.com in (17 Visits)
- Short news in (16 Visits)
- La multi ani România, la multi ani românilor in (15 Visits)
- Inca o pierdere de timp in (10 Visits)
- Azi este ziua userilor hackersblog.org in (10 Visits)
- Raportare vulnerabilitati in (8 Visits)
- Update in (7 Visits)
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac? in (228 Visits)
- Hi5.com coders read this in (28 Visits)
- SMS scam (1) in (21 Visits)
- Phishing Bancpost in (7 Visits)
- Dezinformare sau proasta informare? in (7 Visits)
- Si tentativele de phishing pot fi amuzante in (5 Visits)
- Phishing Raiffeisen cu atasament html in (4 Visits)
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta in (75 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (41 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (30 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (29 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (24 Visits)
- Virusi in clipuri video [how to] in (22 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (21 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (17 Visits)
- Yahoo! redirects - a big issue (with video) in (10 Visits)
- Ca musca in... in (9 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (123 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (72 Visits)
- Yahoo! epic fail - permanent xss unleashed in (69 Visits)
- Telegraph.co.uk hacked, sql injection in (52 Visits)
- RedTube.com ... The Free Sex Video Community in (41 Visits)
- Kaspersky Thailand hacked by TinKode in (37 Visits)
- Conquiztador Hacked Again in (32 Visits)
- Telegraph.co.uk hacked - when will they learn? in (29 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (27 Visits)
- Ziua userilor - sinu.utcluj.ro in (26 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (24 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (20 Visits)
- Digital Photocopiers Loaded With Secrets in (15 Visits)
- Hacker Uses XSS and Google Street View Data to Determine Physical Location in (12 Visits)
- OWASP Phishing demo in (7 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (7 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (6 Visits)
- Christopher "moot" Poole: The case for anonymity online in (6 Visits)
- Owasp5005 Part1 - New zero-day browser exploits - ClickJacking in (5 Visits)
- [Video] The History Of Hacking in (5 Visits)
- Se poate sparge parola de Yahoo? in (256 Visits)
- phpBB.ro hacked in (81 Visits)
- Cand dorinta de afirmare depaseste granitele bunului simt - PaxNwo un leecher ordinar in (47 Visits)
- Experiment social in (46 Visits)
- Oare cum e pana la urma? in (39 Visits)
- "Hot" de id-uri messenger in (38 Visits)
- Experiment social II - andimoisescu.ro in (37 Visits)
- Ce nu se invata la scoala – Vendetta (6) in (37 Visits)
- Concurs fara premii in (36 Visits)
- Forumul Andreei Balan spart in (32 Visits)
Posted on November 13th, 2009
Dupa cum spuneam in articolul anterior voi reveni cu imagini si explicatii despre posibilitatea de a introduce javascript in licitatiile okazii.ro.
Folosind cod html extrem de simplu (<a href=javascript:alert(1)>CLICK AICI</a>) am reusit sa adaug la o licitatie fictiva un mic link ce continea javascript. Cu o mica modificare a codului se puteau face mult mai multe, inclusiv sa fur cookie-ul utilizatorilor ce dadeau click pe linkul meu, iar apoi sa ma loghez pe conturile lor.
Nu stiu exact daca functioneaza si alte metode de a injecta javascript pentru ca nu am stat foarte mult sa caut prin site, dar exista posibilitatea ca filtrele okazii.ro sa nu acopere toate posibilitatile de a implementa javascript in paginile de licitatii.
Screens:
Din cate am observat licitatia a fost stearsa si probabil (am ramas fara cont de pe care sa fac teste), nu mai este posibila injectarea javascript prin metoda explicata mai sus.
November 13th, 2009 at 4:31 pm
Esti tu sigur ca puteai fura cookie-ul? Cand am lucrat la okazii.ro am insistat pentru activarea HttpOnly pentru cookie-ul de sesiune. M-as mira sa nu mai fie acum activa setarea.
November 13th, 2009 at 4:38 pm
Afirmatii facute reflex fara verificare. De obicei sunt articole bune dar aici greseala e suficienta.
Am pus un screenshot la http://img266.imageshack.us/img266/12/okaziirohttponlysession.png
November 13th, 2009 at 4:46 pm
Greseala mea ca nu am reverificat. Au trecut cateva zile de atunci si mi-a scapat porumbelul asta.
Am modificat. Multumesc pentru notificare Andrei.
November 13th, 2009 at 5:20 pm
Cu placere, sper ca n-a sunat prea acid
November 13th, 2009 at 5:58 pm
Multumim inca o data pentru notificare.
November 13th, 2009 at 5:59 pm
Nu, nu. E foarte bine ca mi-ai spus. Nu vreau sa fac pe aici previziuni apocaliptice fara substanta.
November 17th, 2009 at 4:22 am
Au inceput sa se rezolve problemele din jurul flagului HttpOnly, vechile versiuni de opera (si probabil si IE si FF) nu respectau HttpOnly-ul pentru ca nu e standard, plus ca, dupa cum probabil stii si tu deja, era si problema la ajax(xmlhttp) requests ca se putea citi cookie-ul de prin headerele xmlhttp-ului.
Nu stiu cum mai e cu ultimele versiuni, insa cert e ca nu te poti baza pe un HttpOnly (sau magic quotes) sa iti faca toata treaba
November 17th, 2009 at 1:26 pm
Da, HttpOnly trebuie sa fie o ultima linie de aparare, gen airbag. Daca masina mea are airbag nu inseamna ca trebuie sa intru in zidul ala, nu?
Si partea cu vulnerabilitatea HttpOnly la XMLHttpRequest e foarte disputata, chiar eu “certandu-ma” cu cineva acum cateva luni : http://insanesecurity.wordpress.com/2007/08/01/httponly-vs-xmlhttprequest/
In final Jim Manico dandu-mi partial dreptate.
March 19th, 2010 at 12:26 pm
pentru cei cu probleme pe internet exista deja”capitanu nemo” va rog sa apelati cu incredere. Are standarde europene.
Chiar si probleme cu okazii.ro; sau ecrocherii; amenitari, violare intimitate, ip, e mail, teroare pshihica etc. Le rezolva, gratis. Nu e gluma.
Buna ziua,
Numele meu este Paul Roman si sunt inspector principal de politie in cadrul Inspectoratului General al Politiei Romane,
Directia de Combatere a Criminalitatii Organizate, Serviciul de Combatere a Criminalitatii Informatice.
Cu stima,
Paul Roman