This  vulnerability was patched but  I don’t know why the screenshots uploaded by TinKode on imageshack were deleted. Maybe TinKode will provide me those screenshots again.

Anyway, the bug was located at http://careers.yahoo.com/eprofiles.php?id=

Dupa cum spuneam in articolul anterior voi reveni cu imagini si explicatii despre posibilitatea de a introduce javascript in licitatiile okazii.ro.

Folosind cod html extrem de simplu (<a href=javascript:alert(1)>CLICK AICI</a>) am reusit sa adaug la o licitatie fictiva un mic link ce continea javascript.  Cu o mica modificare a codului se puteau face mult mai multe, inclusiv sa fur cookie-ul utilizatorilor ce dadeau click pe linkul meu, iar apoi sa ma loghez pe conturile lor.

Nu stiu exact daca functioneaza si alte metode de a injecta javascript pentru ca nu am stat foarte mult sa caut prin site, dar exista posibilitatea ca filtrele okazii.ro sa nu acopere toate posibilitatile de a implementa javascript in paginile de licitatii.

Screens:

Din cate am observat licitatia a fost stearsa si probabil (am ramas fara cont de pe care sa fac teste), nu mai este posibila injectarea javascript prin metoda explicata mai sus.

Raportat catre Bogdan@netbridge. Asteptam rezolvarea rapida.

Mai baieti, inainte de a publica o stire informati-va si voi despre ce se poate face si ce nu. Daca omul ala avea programe ce pot afla pin-uri ale cardurilor furate/extrase, acum detinea propria lui insula si isi facea o micro-tara plina cu fotomodele doar pentru el.

Pentru neinitiati: pin-urile si codurile de securitate din 3 cifre (cvv) nu se pot genera, afla, modifica, cu ajutorul unor programe de uber hackeri. De aceea se numesc coduri de securitate. Singura modalitate de a afla codul cvv cu ajutorul unui program este sa instalezi un soft de tip spyware pe pc-ul omului si sa primesti toate datele pe care el le completeaza la o tranzactie online.

In cazul codului pin acest lucru nu este posibil deoarece nu exista niciun serviciu LEGITIM care sa le ceara clientilor asa ceva din simplul motiv ca este ilegal si nu ai dreptul si posibilitatea sa procesezi astfel de date indiferent cat de mare e firma ta. Totusi, din zvonurile pe care le-am auzit, anumiti angajati ai bancilor pot vedea pin-urile clientilor in baza de date si intr-adevar in cazul asta este posibil sa vanda informatia respectiva unor persoane care se ocupa de clonarea cardurilor. Dar, dupa cum spuneam, aflarea sau generarea codurilor pin folosindu-se “programe” este fabulatie. Pin-ul se afla prin phishing sau prin dispozitivele atasate bancomatelor si celorlalte aparate de plata cu cardul.

Algoritmii despre care vorbeste omul au legatura, daca tin bine minte, cu numarul de card (bin), data expirarii si cvv. Programele de generare algo (track 2 generator) se gasesc si pe dc++, desigur in versiuni foarte vechi care nu mai functioneaza si sunt bindate cu troieni. Dar, pentru cei interesati de cum arata un astfel de program, e un demo destul de bun. Sunt cam depasit de tehnologia de generare a algoritmilor pentru ca n-am lucrat cu asa ceva vreodata, dar in mare cam tot la fel cred ca functioneaza si cele ce genereaza track 3. Probabil se va gasi cineva care sa comenteze pe blog si sa ne dea mai multe informatii.

Sursa aberatiei: http://stirileprotv.ro/stiri/eveniment/angajati-ai-bancilor-complici-la-furturile-de-pe-carduri.html

Just a link http://www.theregister.co.uk/2009/11/12/spears_twitter_hack/

Dupa cum vedeti am inceput o campanie de “flame” pe care probabil multi dintre voi o gasiti ca fiind o copilarie ce nu isi are rostul, dar care e a naibii de amuzanta din punctul meu de vedere. Azi revenim la Ionut Balan (cel care dorea sa ne vada inchisi pentru marsaviile noastre) si vom analiza o discutie despre maleficul vierme Ikee ce ataca aifonu’.

Prima fraza din articolul scris de catre domnul Balan:

“Si numai pe cele carora le-a fost alterat mecanismul de protectie prin ceea ce se denumeste “jailbroke” ca sa poata fi rulate aplicatii “neoficiale” – adica luate prin alte modalitati decat AppStore.”

Se numeste jailbreak.  Sa spunem ca e typo. Mergem mai departe:

“iPhone-urile sa ruleze in afara retelelor “standar” au si curiozitatea sa schimbe parola de root?”

Iar typo.

“odata decodate, majoritatea iPhone-urile au activ serviciul”

Majoritatea iPhone-urile are de toate ca e scumpe ele care este.

“Toate folosesc aceiasi parola de root”

Aceeasi parola – o parola, doua parole. Gen? Feminin. Aceiasi este pluralul de la genul masculin – acelasi baiat / aceiasi baieti.

“In momentul ni care s-a putut conecta”

Niiiii calule. Typo din nou

“Va zic eu: majoriatea celor”

Typo

Si eu mai gresesc dar am o scuza. De fapt am doua. Prima este ca am 8 clase si din clasa a 5-a am ramas corigent la tot ce se putea. Yeah, am fost o pramatie rasfatata care statea toata ziua in salile de jocuri. Cea de-a doua este ca eu scriu din placere pe un blog ce imi apartine si nu primesc bani pentru asta. Asa ca daca o mai comit uneori am la indemana scuzele nesimtite “mi se rupe” sau “take it like it is or GTFO”. Lucru care presupun ca nu se aplica si in cazul angajatilor Chip.

Articolul de pe Chip il puteti gasi aici

Orangeblog.ro este un nou serviciu de blogging asigurat de Orange (Romania). Nu este mare, cunoscut sau util. Nu are nici macar sansa ca in timp sa reprezinte ceva pe piata. Plin de vulnerabilitati xss inca din ziua lansarii, orangeblog.ro a reusit sa ne dovedeasca inca o data ca firmele mari angajeaza personal cu deficit de inteligenta. Chiar nu as fi discutat despre o asemenea porcarie de site daca era vorba de o alta firma, insa cum e vorba de Orange, iar noi iubim Orange, va arat dovada absoluta a idioteniei pe web.

In general pentru a sterge un cont pe orice site mai de doamne ajuta trebuie sa confirmi ca esti de acord cu stergerea contului, sa introduci captcha sau eventual ai o sesiune unica care previne riscurile unui csrf neplacut. Nu si in cazul orangeblog.ro. Simpla accesare a linkului http://www.orangeblog.ro/personalizare/profilulmeu.jsp?del=1 va sterge blogul celui care a facut prostia de a da click unde nu trebuie. Si cum requestul este in GET (nu ca in POST ar fi fost mare diferenta), daca vom adauga intr-o pagina codul html <img src=http://www.orangeblog.ro/personalizare/profilulmeu.jsp?del=1>, toti cei ce vor accesa acea pagina si vor fi logati pe orangeblog.ro isi vor sterge userul.

Cam atat despre orange blog. Nu sunt multe de spus si nici nu ar trebui sa fie bagat in seama un serviciu care nu e in stare sa iti asigure macar propriul tau subdomeniu pentru blog dar ai caror proprietari au tupeul de a cere bani pentru a te promova. Ce sa promovez nu stiu. Un link ca http://www.orangeblog.ro/navigare/index.jsp?blog_id=341? Sunt curios cine il va tine minte indiferent de calitatea articolelor mele.

Orange sucks, site-urile lor sucks, angajatii lor si mai rau.

Cate vulnerabilitati exista in http://orangeblog.ro?