Hacknite si malacky.sk

Bezpečnosť na internet a všetko okolo nej....
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Hacknite si malacky.sk

Príspevok od používateľa Snake »

...alebo oX(SS)ide s.r.o v praxi.

Dnes si tak brúzdam sajtom malaciek (malacky.sk), až narazím na spoločnosť ktorá mala túto stránku na starosti - oxide.sk . Niekde som názov tejto firmy už počul, nespomenul som si avšak kde, tak som skúsil Google a dostávam sa na stránku SME.sk kde sa dozvedám, že portál malacky stál 88-tisíc slovenských korún (2921€). Suma nemalá, avšak realizátor mne známy:
Novú stránku vytvorí 17-ročný študent Gymnázia v Malackách Daniel Krakovský, ktorý pre spoločnosť Oxide pracuje.
inak povedané CrakeN z PC_Space, bývalý moderátor a redaktor pretaktovania. Keďže sa venujem aj security, tak som bol zvedavý za čo CrakeN zhabal skoro 3000€. Skúšam textové pole na XSS v podobe:

Kód: Vybrať všetko

<script>alert(1)</script>
ale dostanem len escapenutý string v podobe:

Kód: Vybrať všetko

\"<script>alert(1)</script>
Následne si čítam o meste a v adresbare si všímam:

Kód: Vybrať všetko

http://www.malacky.sk/index.php?page=registracia
http://www.malacky.sk/index.php?page=zabudnute_heslo
http://www.malacky.sk/index.php?page=uradtab_archiv
inak povedané zaujal ma hlavne ?page=. Skúšam opäť XSS a hľa:
<a href="http://snake.havran.eu.sk/pretaktovanie/malacky.jpg" target="_blank">Obrázok</a>

XSS ako vyšité, bez akéhokoľvek escapu a inicializované dokonca 3x (!!) za jeden DOM load. Predpokladám že každý nevie čo XSS je, hodím teda quote bezpečnostného experta na SR:
XSS alebo Cross-site scripting je typ útoku, kedy sa za použitia client-side skriptov (JavaScript) pozmení časť kódu zobrazovanej webstránky tak, aby bol nebezpečný skript útočníka spustiteľný a vykonal určitú akciu, napríklad získal a odoslal dáta z cookies obete. Útočník tak po nahratí dát z cookies ktoré získal od obete, často získa prístup do aplikácie (webstránky) bez toho aby poznal vaše prihlasovacie údaje!

(<a href="http://blog.synopsi.com/2007-12-12/najp ... i">[u]link na celý článok[/u]</a>)

Čiže na malacky.sk nájdete novú službu menom "Hacknite si malacky.sk". Chcete napríklad google v malackách? Žiadny problém >> http://www.malacky.sk/index.php?page=%2 ... /iframe%3E

Kradnúť maily? Cookies? Heslá? opäť žiadny problém. Dôvod prečo postujem tento článok je ten, že ma zaujalo ako mesto Malacky, dá peniaze (dosť veľké pravda?) za projekt, bez akéhokoľvek zabezpečenia namiesto toho aby použila free CMS riešenia ktoré sú (väčšinou) bez takýchto veľkých a "detských" chýb.

Edit 18.4.2009:

Chyba bola včera opravená.





.
Používateľov profilový obrázok
Danix64
Používateľ
Používateľ
Príspevky: 1148
Dátum registrácie: Po 12. Máj, 2008, 14:00
Bydlisko: Košice (04011)

Re: Hacknite si malacky.sk

Príspevok od používateľa Danix64 »

coo? tolko penazi za web? ved to je jake drahe :OO=
waau, ty bežne hľadáš chyby a rôzne hackingové postupy? :D
:good:
Spoiler: ukázať
fanless PC: Ryzen 5 5600G, 32GB RAM, 2x2TB SSD (17-19W idle)
fanless i3 server: i3-13100, 64GB RAM, Asus Pro H610T D4-CSM, 1x2TB SSD (<5W idle)
fanless secondary miniPC: Intel N6005, 16GB RAM, 2TB SSD (<6W idle)
fanless small home server: Odroid H3 (Unraid) (<5W idle), Raspberry Pi 4 (Debian/DietPi)
Misak007
Nový používateľ
Nový používateľ
Príspevky: 3
Dátum registrácie: Ut 03. Mar, 2009, 19:22

Re: Hacknite si malacky.sk

Príspevok od používateľa Misak007 »

:D:D:D Kapem z toho...
faugusztin
Moderátor
Moderátor
Príspevky: 15054
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Hacknite si malacky.sk

Príspevok od používateľa faugusztin »

Danix64 napísal:coo? tolko penazi za web? ved to je jake drahe :OO=
Tebe sa to zda drahe ? A inac nutnost znalosti sposobov XSS, SQL injection a roznych inych utokov by mala byt znama kazdemu programatorovi.
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: Hacknite si malacky.sk

Príspevok od používateľa Snake »

Na takú robotu, veru hej, je to drahé, a ešte sa dá spomenúť aj to, že do toho šli buď peniaze mesta, alebo štátu, za projekt, ktorý je deravý jak ementál, stačí si pozrieť google, alebo aj http://blog.itstudio.info" onclick="window.open(this.href);return false; / alian.info .





.
Používateľov profilový obrázok
Timmy2k
Používateľ
Používateľ
Príspevky: 488
Dátum registrácie: Ne 16. Sep, 2007, 08:00
Bydlisko: Trenčín

Re: Hacknite si malacky.sk

Príspevok od používateľa Timmy2k »

Snake - rulez, čo k tomu dodať, ale ak to niekoho baví...
Bolo by to dobré niekomu povedať, či už Crakenovi alebo na druhej strane magistrátu mesta Malacky (a možno budeš mať odmenu aj Ty Snake) :cool:
Spoiler: ukázať
MY PC:
CPU:
Intel Core i5-3350P, Quad Core, 3.10GHz, 6MB;NH-U9B SE2 37o idle & 55o burn
MB:
MSI B75A-G43, B75, DualDDR3-1600, SATA3, 5xSATA2, HDMI, DVI, GBLAN, ATX
GPU:
MSI ATI Radeon 6850 Cyclone 1024 MB GDDR 5
RAM:
Kingston 8GB (Kit 2x4GB) HyperX 1600MHz DDR3 CL9 X2 Grey Series
HDD system:
Samsung SSD SSD840 120GB SATAIII 2.5'', MLC, (530MB/s; 130MB/s), 7mm, Basic 25o
HDD storage:
Samsung Spinpoint F1 HD103UJ 1 TB 32 MB 7200 rpm 24o
HDD external:
Samsung Portable G2 black 250GB 8 MB 5400 rpm 27o
Optical:
ASUS DRW-2014L1T
SOUND:
Integrated
PSU:
Corsair HX520 520 W
CASE:
Fractal Design Core 3000 USB 3.0
Screen:
LG LCD 23EA63V-P 23'' IPS, LED, Full HD, HDMI, DVI, 5ms, black
Keyboard:
Genius SlimStar i222
Mouse:
no name
OS:
Windows 7 64 bit
Headphones:
Sony wireless
faugusztin
Moderátor
Moderátor
Príspevky: 15054
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Hacknite si malacky.sk

Príspevok od používateľa faugusztin »

Teraz nehovorim o kvalite odvedenej prace, ale o rozsahu... Keby to bolo urobene spravne, tak sa mi ta suma az tak obrovska nezda.
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: Hacknite si malacky.sk

Príspevok od používateľa Snake »

CrakeN ani nestihol dodať včas projekt, malacky.sk ho dokonca istý čas prevádzkovala polofunkčný (a ako pozerám, to je doteraz). Každopádne mňa (keby som bol občan malaciek a platil dane štátu / mestu) by vyslovene sralo že peniaze šli niekomu, kto si svoju robotu odflákne.





.
Používateľov profilový obrázok
Timmy2k
Používateľ
Používateľ
Príspevky: 488
Dátum registrácie: Ne 16. Sep, 2007, 08:00
Bydlisko: Trenčín

Re: Hacknite si malacky.sk

Príspevok od používateľa Timmy2k »

Snake napísal:CrakeN ani nestihol dodať včas projekt, malacky.sk ho dokonca istý čas prevádzkovala polofunkčný (a ako pozerám, to je doteraz). Každopádne mňa (keby som bol občan malaciek a platil dane štátu / mestu) by vyslovene sralo že peniaze šli niekomu, kto si svoju robotu odflákne.
to už zachádzame ale trochu do politickej diskusie, pretože takáto vec nie je v našom štáte nijaká výnimka a to nie len na samosprávnej ale často aj celoštátnej úrovni.

Napr. môj skromný nesúhlas so šrotovným.... :!:
Spoiler: ukázať
MY PC:
CPU:
Intel Core i5-3350P, Quad Core, 3.10GHz, 6MB;NH-U9B SE2 37o idle & 55o burn
MB:
MSI B75A-G43, B75, DualDDR3-1600, SATA3, 5xSATA2, HDMI, DVI, GBLAN, ATX
GPU:
MSI ATI Radeon 6850 Cyclone 1024 MB GDDR 5
RAM:
Kingston 8GB (Kit 2x4GB) HyperX 1600MHz DDR3 CL9 X2 Grey Series
HDD system:
Samsung SSD SSD840 120GB SATAIII 2.5'', MLC, (530MB/s; 130MB/s), 7mm, Basic 25o
HDD storage:
Samsung Spinpoint F1 HD103UJ 1 TB 32 MB 7200 rpm 24o
HDD external:
Samsung Portable G2 black 250GB 8 MB 5400 rpm 27o
Optical:
ASUS DRW-2014L1T
SOUND:
Integrated
PSU:
Corsair HX520 520 W
CASE:
Fractal Design Core 3000 USB 3.0
Screen:
LG LCD 23EA63V-P 23'' IPS, LED, Full HD, HDMI, DVI, 5ms, black
Keyboard:
Genius SlimStar i222
Mouse:
no name
OS:
Windows 7 64 bit
Headphones:
Sony wireless
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: Hacknite si malacky.sk

Príspevok od používateľa Snake »

To v akých vlnách sa pohybujeme v súvislosti s portálom je vcelku jedno, riešime čisto portál a súvislosti okolo neho. Čo sa týka tej ankety na malacky.sk, tak ankety pomocou cookies sa už dávno nerobia

ja len napoviem

click > delete cookie > click > delete cookie > click > delete cookie > click ...
Timmy2k napísal:Bolo by to dobré niekomu povedať, či už Crakenovi alebo na druhej strane magistrátu mesta Malacky (a možno budeš mať odmenu aj Ty...
Crakimu je jedno čo sa na jeho webových aplikáciach deje (aspoň po komunikácii s jedným občanom Malaciek), nerobím to ani kvôli sláve a ani kvôli dákej odmene, ide mi čisto o odstránenie tej chyby čím som aj poslal mestu mail.





.
Attilka
Používateľ
Používateľ
Príspevky: 1155
Dátum registrácie: Ut 21. Sep, 2004, 14:00
Bydlisko: Komárno

Re: Hacknite si malacky.sk

Príspevok od používateľa Attilka »

Klobuk dole !
Vyjadril by som sa k veci asi pre niektorych zaporne.Mna zaraza akurat to,ze mas casu hladat chyby,ktore napriklad mna obycajneho uzivatela internetu absolutne nezaujimaju.a nikdy by ma nenapadlo(nemam cas na to),ale je zase zaujimave aj to,ze ked tu bol ako mod alebo admin,bol :cool: ,potom sa jeho osoba vynulovala absolutne,neviem pochopit preco treba ublizovat jeden druhemu?
Sa stavim o hocico,ze nie celkom nahodou si brazdil akurat malacky.sk,a nie cirou nahodou si nasiel tu chybu.
Nie ze sa nahnevas,nie je to proti tvojej osobe,Ja proti tebe nemam nic,len citam tento thread od zaciatku,a si vsimam,ze okrem ponizovania nevidim nic ine,preco sa nemohlo napisat hned ako prvemu(asi kamaratovy/byvalemu moderatorovy),a nerobit okolo toho taky bordel,preco mu zavidime ?
Zavidime niekomu cca 3000Eur?Niekde inde si kradnu bez nasho povolenia,a len cumime,ale tam sa ozvat neopovazime,a nejedna sa ani zdaleka o taku "smiesnu" sumu,ako v tomto pripade!!!
Ani zdaleka neviem co bolo medzi CrakeN-om a pretakt.sk,ani ma to absolutne nezaujima,ale niekedy si vieme narobit starosti z ineho !
OKAY:Beriem to ako vystrihanie inych webdizajnerov pred takymito "chybickami",ale sa to mohlo aj inak uverejnit,aspon podla mna.
PE ES KO :
Toto nech nikto neberie na seba,nie je to urazliveho povodu,len take poznamenanie-povsimnutie z mojej strany.Netreba si navzajom ublizovat,niesom a ani sa necitim nejak povyssim ako ten druhy,ale ak by kazdy hladal chyby,by sme sa nedocitali podobnych
prispevkov.Nezastavam sa ho,lebo poznam osobne alebo nejak inak,len poznamenavam-konstatujem
Nikto nieje 100%ny
Ak sa to nejak niekoho dotyka,PLZ zmazat,nechcem nikoho urazit
NB_1 OMEN by HP 17-an111nc Shadow Black
NB_2 Acer Aspire ES1-512-C2WN
MT Samsung Galaxy Note 10+ 512gb
Používateľov profilový obrázok
Gudas
VIP
VIP
Príspevky: 6514
Dátum registrácie: Po 09. Okt, 2006, 02:00
Bydlisko: Rudina (27)

Re: Hacknite si malacky.sk

Príspevok od používateľa Gudas »

Nuž, čo si ja pamätám, tak Cracken si tu postol niečo absolútne úchylné (doslova), asi aj preto sa "jeho osoba vynulovala".
Čo sa týka toho, že ťa nezaujíma chyba stránky, ktorú možno navštíviš - ok, tak to potom odinštaluj antivírus, vypni firewall a daj si svoje prihlasovacie mená a heslá od e-mailov a internet bankingov zdieľať - je to to isté :-)
Tu ide skôr o to, vziať finančnú odmenu/výplatu za nedokončenú prácu...ktorá navyše môže niekomu aj uškodiť...
Spoiler: ukázať
Desktop| ASRock Z68 Pro3-M | Core i3 3220 @ 3,4GHz + Phanteks PH-TC14PE (pasívne) | 12GiB DDR3 1333MHz | MSI GTX760 Gaming | SuperFlower Golden King 550W 80+ Platinum | Crucial m4 256GB + WD 1TB Red 2,5" 5400rpm @ Scythe Quiet Drive| Fractal Design Define Mini + Nexus D12SL-12 + Noiseblocker PK-1 + Scythe Gentle Typhoon | LG IPS235 + LG L225WT | Creative Inspire T2900 + Beyerdynamic DT990 Pro + Creative X-Fi HD | Logitech MX1100 + QcK Steel mini
Laptop| Acer Aspire One 753 | Celeron U3400 (1,06GHz) | 2x2GiB DDR3 | A-DATA S599 128GB
PC.sk IRC kanál PC.sk
Práve testujem: - Next: -
faugusztin
Moderátor
Moderátor
Príspevky: 15054
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Hacknite si malacky.sk

Príspevok od používateľa faugusztin »

Tak za prve, tu nejde o ublizovanie. Nemam rad taketo utoky na stranky, no clovek sa im v dnesnom internete nevyhne. Preto je nutne taketo aplikacie programovat s co najvacsim dorazom na bezpecnost.

Co sa tyka toho, ze to Snake zverejnil - ako si si mohol precitat tak autor a prevadzkovatel boli upozorneni. No neda sa vyckavat donekonecna, jeden den sa prebudia a zistia, ze namiesto malacky.sk sa im zobrazia akesi turecke hlasky...
Používateľov profilový obrázok
Snake
VIP
VIP
Príspevky: 13677
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta

Re: Hacknite si malacky.sk

Príspevok od používateľa Snake »

Attilka: prepáč ale ty si úplne mimo, s CrakeNom tá stránka má spoločné asi to, že je jej realizátor, objavenie chyby nebolo založené na tom, že som chcel CrakeNa poškodiť alebo niečo v tom zmysle. Ten portál má ešte iné diery, každý trošku znalejší ich nájde, ja ale script-kiddies podporovať nemienim. Takže tvoj komentár (resp. dojem zo situácie) je mimo. Keby si robil web ty, ja, gates, hocikto, a nájdem ju, tak ju zverejním, mne nejde o to vyvyšovať sa nad crakenom. ;)

K tvojej bezpečnosti, a že ťa to nezaujíma, tvoj problém, snáď raz prídeš na to, keď sa ti niečo horšie stane, že sa jedná aj o tvoju bezpečnosť. Aby som bol presnejší, nejde tu o to že malacky.sk vyhodia popup okno s nápisom XSS, ide o to, že niekto si kľudne kradne cookies, alebo dokonca horšie veci. Nezaujíma ťa to? Tak to ťa dosť ľutujem...





.
Attilka
Používateľ
Používateľ
Príspevky: 1155
Dátum registrácie: Ut 21. Sep, 2004, 14:00
Bydlisko: Komárno

Re: Hacknite si malacky.sk

Príspevok od používateľa Attilka »

Chlapi omyl,mna ako ta chyba tej stranky nezaujima,okrem ineho mam "svoj" firewall aj antivir,okrem pretakt.sk mam svoj osvedceny postup na prihlasovania,ktory udajne nezanechava stopy po sebe ani v mojom PC,a to ze sa nahrabe niekto na ineho chybach,alebo lepsie povedane nevedomosti,je uz kazdeho osobna vec,ja nemam ani nemienim investovat svoj cas na take veci,ako hladanie chyb na strankach,sem-tam kuknem tu aj tam,pohladam co akurat potrebujem a vypinam PC.
PE ES KO : V nasej zazracnej republike sa kradne ostosest,este viac ako za totalizmu,len trocha inak ;)
NB_1 OMEN by HP 17-an111nc Shadow Black
NB_2 Acer Aspire ES1-512-C2WN
MT Samsung Galaxy Note 10+ 512gb

Návrat na "Security"