BLACKHOLE.sk

Musite mi odpustit ten skaredy nazov 4z3t.sk ale je to preto, aby to nepritahovalo zbytocnu pozornost...

Takze na uvod by som chcel upozornit na to, ze som v tomto odbore novy, takze pripadne chyby a nedostatky neberte moc vazne a spominane postavy su vymyslene, takze akakolvek podoba s nimi je nahodna...

Zacalo sa to v jeden dlhy zimny vecer... Zaujal ma clanok o XSS (Cross-site scripting, alebo moznost vlozenia scriptu-skodliveho kodu s vyuzitim slabiny webu), tak som sa rozhodol trosku postudovat len tak zo zvedavosti a mozem povedat, ze vysledky boli celkom uspokojive.
Zobral som si stary znamy script s funkciou alert('XSS') a zacal sa hrat - lepil som ho kade tade a len tak ma napadlo : a co tak skusit 4z3t postu? Zacalo sa to znamou RP. Vlozil som script a odoslal na druhy account. No a co som nevidel - prisla prazdna RP, ktoru samozrejme neislo otvorit, kedze bola prazdna, no script uz bol zapisany v zdrojovom kode stranky...

Po tomto nasledoval druhy pokus s tym, ze som poslal text a za nim bol script.
Vysledok bol nasledovny: text sa zobrazil normalne a za nim nic, no po otvoreni posty sa script vykonal, co bolo pre mna super... Tak som zacal s testovanim zlozitejsich kodov a vsetko fungovalo ako ma. Ale potom som si uvedomil, ze RP ma obmedzeny pocet znakov, tak som vyskusal postu - tam sa toho predsa len zmesti viac. Samozrejme ako inac - aj tu to fungovalo. Tak som testoval vsetko mozne, to uz bolo asi 4 hodin rano, tak som sa vybral do rise snov s dobrym pocitom na dusicke...

Dalsi den ma napadlo, ako by sa to dalo vyuzit a preco je to vlastne nebezpecne a ako prve a snad najjednoduchsie sa mi do ruk dostali cookies (su to informacie, ktore si uklada server do uzivatelskeho PC pre neskorsie vyuzite a komunikaciu - pre tych co stale nepochopili - sluzi to nato, ze ked sa prihlasite na 4z3t, tak vas to nevyhodi hned, ked kliknete na nejaky odkaz, ale po dlhsom case inaktivity) . Samozrejme - hned som zacal s kodenim scriptu na odchytenie cookies a ich zapisanie do suboru, ku ktoremu uz mam pristup. Po ukonceni kodenia som sa rozhodol testovat to s kamosom ( tymto dik za pomoc _nF ) priamo na bojisku. Odoslal som mu RP so scriptom a cakal... Po otvoreni som ihned checkoval subor s cookies... Potom stacilo len stiahnut editor cookies a upravit ich na ziskane hodnoty, ale zazil som mensi shock, ked som zistil, ze to nefunguje. Hned som zacal rozmyslat, v com to bude a vsimol som si URL 4z3t-u - po prihalseni tam pribudla hodnota i9= a tam bol hacik. Potreboval som aj tuto hodnotu, tak som si vytvoril dalsi script s tym, ze ten mi odoslal aktualnu hodnotu URL. Nasledovali testy a teraz uz vsetko fungovalo ako ma... Po chvilke radosti som si uvedomil, ze ked som toto dokazal ja, tak co potom dokaze niekto omnoho viac skusenejsi a lepsi?

Po tychto skusenostiach som mal moznost trosicku nahliadnut aj do infrastruktury portalu 4z3t.sk, rozhovory s adminom a podobne. Ked som ho oboznamil s tym, ze ake su tam diery tak sa mi dostalo niekolko ponuk z jeho strany, ak mu ich prezradim... Samozrejme som ho trosicku ponatahoval a zistil si par zaujimavych veci - ako to je s adminovanim, urobil som si vlastnu mienku o adminoch - hoci ten, s ktorym som si pisal, bol podla mna jeden z vyssich (najprv sa snazil popierat, ze je admin, ale potom ho to akosi preslo aj napriek tomu, ze tam plati pravidlo: ak vas odhalia letite). Islo mu pravdepodobne o karierny rast, pretoze ako som sa dozvedel, admini sa delia na nejake fiktivne levely - cim vyssi level tym vyssie prava.

Po tomto prievane a mojej mensej chybicke a upozorneni na chybu sa zacala velka patracia akcia po vsetkych chybach tohto druhu. Dnes su uz samozrejme odstranene ( vlozili tam sanitized html ), hoci ta RP fungovala este prednedavnom, co hovori o "profesionalite" personalu portalu 4z3t.sk

Na moje upozornenie sa mi odpovede nedostalo a opat sa potvrdilo, ze 4z3t takyto druh posty uplne ignoruje, co svedci tiez o niecom.
Takze na zaver chcem len upozornit, ze clanok sluzi len na studijne ucely a za akekolvek zneuzitie autor nezodpoveda.
To by bolo na dnes vsetko...
Este snad len vyzvat ludi, aby si davali pozor na bezpecnost pri pohybovani sa Internetom, lebo aj tu mozu vidiet, ze nie vzdy to najvacsie, je aj najbezpecnejsie.