Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Titkos üzenet

2010.03.25. 01:00 | buherator | 38 komment

...száll a széllel, és csak az nem olvassa el,  aki nem akarja. CodeRed írta ezt az iWiW-ről:

Az üzenetek menüben nyiss meg egy tetszőleges üzenetet, majd a böngésző címsorában az url végén a messageID átírásával bárki üzenete elolvasható. :]

Az a nagyon durva, hogy működik! Botrány szagot érzek...

Címkék: iwiw

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

tomato 2010.03.25. 01:31:07

Választások előtt mondjuk fincsi dolgokat lehet művelni. :D De jó, hogy nincs iwiw-em...

fitymacsattogas 2010.03.25. 01:36:10

erdekes, hogy a torolt uzenet is megmarad, hiaba torolte mindket fel

RobbeR 2010.03.25. 02:12:58

ez kemény. Egyszerű és tökéletes:D Érdekes, hogy annyi iwiw fejlesztő pont erre nem gondolt:D

Mavrick Skalvo 2010.03.25. 02:20:12

LOL!! :)
A sok szakítás.. :P

kino 2010.03.25. 02:36:16

de hogy erre senki nem jött rá eddig... vagy mégis? :)

Mavrick Skalvo 2010.03.25. 02:47:32

:) Kéne csinálni egy scriptet ami végig lapozza az oldalakat, és lementi őket. Aztán kiolvassa belőlük hogy kitől kinek és létrehoz egy kapcsolathálót amiben kedvünkre böngészhetünk. (mint a Flash Forward sorozatban) :)

Mavrick Skalvo 2010.03.25. 02:58:03

Szerintem időrendben van kiosztva az ID.
Egyik 227-el kezdődő március 17. Szóval a feletti kód elvileg nincs, ha igazam van.
2275 = március 19
2276=március 22
2277=március 24

Szerintem látható a tendencia.. :P

kino 2010.03.25. 03:03:14

sorban adja az id-ket, ahogy érkeznek az üzenetek. másodpercenként több, mint 2 (meg lehet találni a végét)

Mavrick Skalvo 2010.03.25. 03:12:49

Ez jó volt.. :)
De könnyen rá lehet unni.

Zovits 2010.03.25. 05:27:50

Jó látni, hogy ugyan elszabták a srácok a rendszert, de legalább lezárják, amint kiderül, hogy sz@r van a buktában :)

Mindenesetre van egy olyan érzésem, hogy erről még fogunk hallani a médiában.

majmune 2010.03.25. 07:19:42

sziasztok,
én ma megkeresem az iwiw-et ez ügyben
úgy látom a kommentekből, hogy hajnalban már megjavították - bár az oldal jelen pillanatban elérhetetlen
ha valakinek esetleg van screenshotja a hibás állapotról, szívesen fogadnám
dajkó pál
dajko@itcafe.hu

synapse · http://www.synsecblog.com 2010.03.25. 09:41:17

na ez a humor: "erdekes, hogy a torolt uzenet is megmarad, hiaba torolte mindket fel " :D

synapse

Udi · http://blog.udi.hu 2010.03.25. 09:51:01

A létező legalapabb autorizációs hiba. Miért nem vagyok meglepve?

Hdd 2010.03.25. 10:01:41

John Black-nek: nekem is ez volt az első gondolatom, hogy gyorsan írok egyet, ami leránt 1-2 ezer (vagy akármennyit, amennyit épp sikerül) üzenetet, aztán abban lehet bogarászgatni, és hasonlókat alkotni, csak sajnos kicsit korábban kellett volna hozzá ma kelnem. Vagy inkább később feküdnöm :D Mindegy, végülis max játéknak lett volna jó, mert a nyers adatokat közzétenni nem lett volna egyáltalán szép dolog. Így is lesz remélem elég vízhangja a dolognak.

kelemenm 2010.03.25. 10:34:03

@John Black:
@Hdd:
Feltaláltátok a gmail-t :) Az a csapat aztán tényleg nem ...-al gurigázik!

Hunger 2010.03.25. 11:17:12

"erdekes, hogy a torolt uzenet is megmarad, hiaba torolte mindket fel"

érdemes lenne utánanézni, hogy nem jogsértő-e ez, mit vállal az iwiw az adatvédelmi nyilatkozatában vagy az ászf-ben a törölt adatokkal kapcsolatban...

konyvelomo 2010.03.25. 12:08:41

@Udi: "A létező legalapabb autorizációs hiba."

Sajnos igen, és az iwiw-vel összefüggésben ez NAGYON gáz.

Nem értem h miért gányolják tovább a rendszert. Ha valahol, hát náluk van kapacitás, meg tudnak fizetni megfelelő embereket. Miért nem írják újra az egészet, átgondoltan, tervezetten? Van 3-4M felhasználókul, a magyar piac domináns szereplői és sza%#ak az egészbe...

Ma már Szomszéd Psitike is ellenőrzi PHP+MySQL barkácskörútján h az kérte-e le az adatokat (oldalt), akinek van hozzá jogosultsága és nem hagyja hogy buherálják az urlt...

Mavrick Skalvo 2010.03.25. 14:06:42

@kelemenm:
Nekem gmail fiókom van. Mit akartál róluk mondani ezzel? :)

Sopánka76 2010.03.25. 14:10:29

Elég vízhangja lesz, van elég vízfejű az országban. :)))

sanya18 2010.03.25. 15:13:37

már nem működik. legalábbis nekem. :)

b. á. 2010.03.25. 15:52:55

WTF? Komolyan nem értelek benneteket. Most lehet, hogy én értettem félre valamit, de a iwiw.hu:80/pages/message/messageread.jsp?messageID=2277...... formátum nem működött már hónapokkal ezelőtt sem, anno próbálkoztam vele, most sem működik. Sütimérgezés vagy valamilyen plusz figura után esetleg. Ha most a napokban valakinek működött, akkor csak átmenetileg volt hibás, mondom én, pedig utálom a WiW-et, mint a szart.

A törölt üzenetek olvashatósága egy több éves probléma, amivel kapcsolatban megkeresték az adatvédelmi biztost is, aki elvileg kötelezte őket arra, hogy tényleg töröljék, amit a felhasználó törölt.

safranyn · http://filmsor.net 2010.03.25. 15:53:19

ebből tényleg botrány lesz, kár hogy nincs kedvem elolvasni az adatvédelmi nyilatkozatot :D

-Hoze- · http://www.hoze.blog.hu/ 2010.03.25. 16:19:22

Bisztos az izraeli kémrepülők csinálták, höhöh.

Ez amúgy tuti, mostantól csekkolhatom a csajomat.:xD

prokee · http://prokee.blog.hu 2010.03.25. 18:35:35

Én egyszer szerteküldtem egy csomó screenshotot arról, hogy kedvesem kilépett saját loginjából az iwiwen, és azzal a lendülettel bekerült egy teljesen ismeretlen spiné profiljába, szerkesztési, üzenési, törlési joggal.
Másik gépről kipróbáltam, már dokumentálva, azon is ez történt.

Elküldtem iwiwnek, kockának, webisztánnak, anyámnak, főnökömnek és Anettkának, mindenki szart bele.
Na akkor én is.

buherator · http://buhera.blog.hu 2010.03.27. 20:45:56

@b. á.: arra, hogy meddig működött, legfeljebb az iWiW fejlesztők tudnak neked válaszolni. Amikor megkaptam az infót működött, néhány órával azután hogy posztoltam javították, minden egyéb csak találgatás lenne.

moli 2010.03.30. 15:35:39

ezek utan arra vagyok kivancsi, hogy mennyit keresnek ezek a programozok a matavnal?

♥ Kitty ♥ (törölt) 2010.03.30. 17:09:44

A torolt uzenet hiba meg most is mukodik. :)

asdf 2010.03.30. 21:29:48

2-3 eve az egyik vezeto biztositasi alkuszceg kuldte ki kb. hasonlo hibaval a szerzodeskotest igazolo pdf-eket emailben az ugyfeleknek egy linkkel kb ilyen formatumban: www.url.hu/valami/szerzodes79324.pdf. Atirtam a szamot eggyel nagyobbra, es maris tokismeretlen nev, cim, autoja minden adata stb ;))
Irtam nekik mailt, hogy hattoize, ez igy kurvara gaz, hat nagyon megkoszontek, es pikkpakk javitva volt :)) (viszont egy akcios ajanlatra mar nem futotta nekik :P )

asdf 2010.03.30. 21:31:00

Ja, es hogy ON is legyek, asszem infokukaciwiw.net

Laca@blog 2010.04.01. 09:25:02

most meg feljelentget az iwiw... én meg vissza bejelentsem mert nem törlődnek a "törölt" üzenetek?

moli 2010.04.01. 10:25:13

@Laca@blog: ez a legundoritobb, amit tehettek. ha a parlament kozepere szarnak, az se lett volna ennyire undorito.

csz0 (törölt) 2010.04.02. 08:08:17

Zuschlag kapott nyolc és felet, ha véletlenül átírtál egy ID-t az iwiw URL-jében, kapsz majd tízet.

Amúgy most épp miért nem jelenik meg egyetlen üzenetem sem? Sem az enyém, sem a másé... Sem a küldött, sem a fogadott... Csak a lapozó. Kit jelentsek fel?

MGS 2010.04.02. 12:10:00

Aki volt olyan hülye, hogy saját IP-ről vizsgálgatta a bugot, az meg is érdemli :)

dra04 2012.01.15. 12:47:19

Sziasztok én most regiztem be és nekem nem sikerült elolvasnom senki levelét sem :( Segitene valaki?

_2501 2012.01.16. 10:11:55

1.) ez a hír 2010 március, most pedig 2012-t írunk, azóta már kijavították.
2.) ennyire hülye nem lehetsz: gyakorlatilag bűncselekmény elkövetéséhez kérsz segítséget.