Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Röhej

2011.08.02. 13:30 | buherator | 31 komment

Scott Anyó küldte az alábbiakat a rohej.hu-ról, ahol néha-néha elfelejtik autentikációhoz kötni az adminisztrátori funkciókat:

A regisztrált felhasználók jól teszik, ha nem használják az itteni jelszavukat máshol!

Természetesen még a múlt héten megpróbáltam jelezni a problémát a kapcsolatfelvételi űrlapon, amely az alábbi szellemes szöveggel nyugtázta az üzenet vételét:

Köszi az őszinteséget, én viszont nem szeretek a /dev/null-al levelezni. Bocs! 

Címkék: az olvasó ír rohej.hu

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

gphilip · http://search-download.com 2011.08.02. 14:59:28

kérdés: ki a f*szom regisztrál egy ilyen oldalra?

akos512 2011.08.02. 15:10:05

Nem értem...
rohej.hu/admin/index.php

Hogy hogy nincs autentikálva?? Valaki elmagyarázná, esetleg küldene linket?

akos512 2011.08.02. 15:18:59

De nem jövök rá sehogyan sem :)

buherator · http://buhera.blog.hu 2011.08.02. 15:24:11

@akos512: Akkor ez nem egy neked való játék.

akos512 2011.08.02. 15:29:03

:D hát én megpróbáltam... De valahogy a sütikkel kell ügyeskedni??

Bumika 2011.08.02. 15:36:10

Hadd tereljem másfele a beszélgetés menetét. Nem gond, hogy csak ennyire vannak kitakarva az md5 hash-ek? Dictionary alapon elég jól leszűkíthető lenne a potenciális jelszavak halmaza...

synapse · http://www.synsecblog.com 2011.08.02. 16:15:08

Bumika, akost512: szerintem inkabb nezegessetek ezt: disney.blog.hu/

akos512 2011.08.02. 17:48:16

Ja elég jellemző. Ha valaki nem tud valamit és érdeklődik a téma iránt, akkor rendszerint leugatják.

akos512 2011.08.02. 18:05:51

Én kérek elnézést. Megtaláltam :D

akos512 2011.08.02. 18:07:06

A képek címéből következtettem csak :))

FekaBa 2011.08.02. 18:39:19

Elég gyakran keresnek mostanában a " ' OR 1=1--"-ra. Ez valami poénvideó? :D

buherator · http://buhera.blog.hu 2011.08.02. 19:08:45

Mások okulására is:

@akos512: Nem az a baj, ha valaki kezdő, hanem ha nem tud kérdezni.

Bumika 2011.08.02. 20:59:25

@synapse: Köszönöm a tanácsot, sajnos nem vagyok oda Disney-ért, így maradnék mégis buhera kolléga blogjánál.

Üdv: Péter

buherator · http://buhera.blog.hu 2011.08.02. 22:50:07

@Bumika: Ezek már komprommitált fiókok, azzal sem rontanék nagyot a helyzeten, ha a teljes hash-eket kiraknám. A fekete csík inkább adatvédelmi (és nem adatbizonsági) célt szolgál, mint pl. az e-mail vagy egy "Anyja neve" mező esetében.

Ettől függetlenül elkezdtem számolgatni a dolgokat, de annyi paraméter van, hogy nagyon nehéz konkrét számokat/valószínűségeket mondani.

Bumika 2011.08.02. 23:38:55

@buherator: Elfogadom, valóban nem erre a konkrét esetre, inkább általánosabban lehet érdekes a megközelítésem.

Ha valaki készít egy egyszerű programot, amely egy magyar/angol szójegyzet alapján, egy adatbázisban tárolja az md5 hash-ek értékét, akkor egy megfelelő lekérdezéssel kigyűjtheti azokat a sorokat, amelyekre az md5 hash mező értéke egy adott bájttal kezdődik, és egy adott bájtra végződik.

Mégha nem is feltételezünk egyenletes eloszlást, azért a 65536 lehetőség alaposan csökkenti az "ütközések" (első és utolsó bájt egyezése) számát.

buherator · http://buhera.blog.hu 2011.08.03. 00:12:23

@Bumika: Ha leakelődik hash darab az rossz, de ez igen ritka, leszámítva az ilyen "minden mindegy" eseteket, de még itt is véd az erős jelszó.

nyos 2011.08.03. 02:18:35

@FekaBa: nem, az az adminjelszo
tudod, akkor biztonsagos, ha vannak benne specialis karakterek is, mint pl. ' meg - es = :)

synapse · http://www.synsecblog.com 2011.08.03. 15:09:07

bumika: ez igy igen teljesen valid -- LENNE! -- ha nem talalna meg a bugot mindenki egy perc alatt ;)

RobÚr 2011.08.04. 12:57:31

Válaszolt már valaki?
Vagy javította már valaki? :)

_2501 2011.08.04. 13:27:28

valami utolsó kis összetákolt weblap, amit le se sz@r a tulaj, nulla értékes infóval (felhasználók adatai? kell a francnak), de bouncernek még jó lehet. :P

RobÚr 2011.08.04. 13:30:45

Az is szép, hogy a google cache-ben is benne vannak ezek. :)

P1ngW1n 2011.08.08. 20:24:52

@synapse - Plusz ha az oldal gazdája saját maga nem rakná ki plaintextbe mindenki szeme láttára a jelszavait..

blackshíp 2011.08.23. 10:24:28

@RobÚr: Az még hagyján, de ahogy nézem a googlebot elkezdte törölgetni a usereket bejárás címén...

RobÚr 2011.08.23. 11:42:09

@blackshíp:
:P
Aranyos.
Szegény user meg nem érti mi van! :P