Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Spammer hack

2007.12.18. 14:56 | buherator | 4 komment

Subba bácsi leleplezte a Coolspace-es spammereket, örvendjünk ennek és nézzünk egy perzisztens XSS hibát e neves oldalon! Ez persze mind feltételes mód...

1. Regisztrálhatsz az oldalon valami kamu címmel lehetőleg, mert ezek a kis suttyók tuti hogy e-mailben is osztják a viagrareklámot
2. Létrehozhatsz egy új blogbejegyzést
3. Megadhatsz valami ilyesmit címnek:
<iframe src= http://subba.blog.hu >
A rendszer szűri az aposztrófokat meg az idézőjelet, szóval olyat csak valami furfangos trükkel lehet használni. Ezen kívül a cím végét le szokás vágni, szóva túl hosszú dolgokban nem érdemes gondolkodni. Használható lenne ezen kívűl bármilyen JavaScriptes okosság, mondjuk egy végtelen ciklus is, mondjuk valami külső szerveren elhelyezve.
4. Bejelölheted a "Látható" jelölőnégyzetet. Ez azért lenne nagyszerű, mert így mindenki láthatná milyen szép kódot fogalmaztál
5. Elmenthetnéd a bejegyzést

És hopp, máris kinnt lennél a főoldalon, tehát a bejegyzés törléséig mindenki Subba bácsiban gyönyörködhetne (vagy megszámolhatna végtelen sok párbeszédablakot...). Kreatívabbak próbálkozhatnának akár CSS trükkökkel is.

Halljátok köcsögök? Legközelebb így alakítsátok a marketingstratégiátokat!

Címkék: spam xss coolspace

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Aikon 2007.12.18. 18:43:49

A kúlszpész kitett egy közleményt, hogy nem ők spammeltek, hanem egy felhasználójuk, amiről ők nem tehetnek.

buherator · http://buhera.blog.hu 2007.12.18. 18:58:43

Érdekes módon ez egészen idáig nem zavarta őket. Ha időben kivágták volna a spammereket mint minden rendes tartalommegosztó site-on, akkor nem lennének ilyen problémáik.

Sienkievics 2007.12.18. 20:20:56

Utánajártam ennek az egész hajcihőnek.

Nekem 3 dolog jött le.

1) egy cég beregelt és teleszórta a coolspacet videókkal, a blogokat pedig linkekkel.
2) A coolspacesek nemhiszem hogy a spamelés ellen bármit tehettek volna a blogsiteken.
3) A közlemény gyakorlatilag ezt teszi egyértelművé.

- ENNYI -

buherator · http://buhera.blog.hu 2007.12.19. 14:13:05

Valahogy a YoutTube-bal, Videaval meg a többi száz videómegosztóval kapcsolatban nincs ilyen probléma (hogy a többi hasonló szolgáltatást ne is említsem)... A Coolspace-nek annyit kellett volna tennie, hogy törli a regisztrációt meg a videókat, "ennyi". A közleményről meg annyit, hogy én is pontosan ezt írtam volna ki akár spammeltem akár nem.