[RICHIESTA] password foto protette badoo

Stato
Discussione chiusa ad ulteriori risposte.

web_depraved

Utente Silver
20 Settembre 2007
23
8
0
65
raga avete presente in badoo alcune ragazze mettono le loro foto un pò più spinte protette da password! vi viene in mente niente per scoprire quelle password o per bypassarle? :tongue1:
 
lol, ho sempre voluto scoprirle anch'io :asd:

c'è un amico che se le fa avere grazie all'ingegneria sociale, ha creato anche lui un album con password con foto false e contatta le bsx e si finge lsb, così poi si scambiano le password. Pero' è penoso come metodo..
 
o fai un fake login per la tipa...
tanto quelli che girano per quei siti è già tanto se sanno accendere il pc
 
ganzo. hei fox.
immagino tu l'abbia già preparato il codice x il fake login via xss,vero?
 
con tutto quel porno che c'è in intenret vai a complicarti la vita per niente.
 
Sylar91 ha detto:
ganzo. hei fox.
immagino tu l'abbia già preparato il codice x il fake login via xss,vero?

o_O
Fake login via xss ?
cos'è ?
 
Ma pazzo ho cercato badoo e ho trovato il sito di... voi sapete chi.

Fake login via xss?

uhm... redirecti la vittima ad un fake login con una xss...

http://www.google.it/search?hl=it&q=badoo&btnG=Cerca+con+Google&meta=
 
V1R5 ha detto:
Sylar91 ha detto:
ganzo. hei fox.
immagino tu l'abbia già preparato il codice x il fake login via xss,vero?

o_O
Fake login via xss ?
cos'è ?

certo. basta far cliccare sul link a qualcuno per "iniettare" nel browser codice html e javascript quindi si può fare un fake login che magari poi ti invia i dati a un'apposita pagina su un altro server che memorizza i dati in un database esterno.

funzia su moltissimi siti anche molto famosi e importanti (tipo NASA & co)
 
auhuahuahuahua
So cos'è una xss XD
Però non funzia propoio così lol

è il fake login è diverso dalla xss...Dubito che con un fake login grabbi i cookie..
 
il fake login potrebbe essere.. però io non sò programmare, sto cominciando ora a studiare qualcosa (con l'ulteriore scoglio che uso ubuntu) e non sò fare un fake login! c'è un codice standard :)-D) da aggiungere al sorgente della pagina? 8preferibilmente che salvi la pass in un file txt!
 
non saprei... comunque il codice è abbastanza semplice anche se non me ne intendo di javascript. E' possibile anche in html semplice

@V1R5:
lo so che è diverso, ma con xss si può "aggiungere" a una pagina il codice per fare un fake login...
 
web_depraved ha detto:
il fake login potrebbe essere.. però io non sò programmare, sto cominciando ora a studiare qualcosa (con l'ulteriore scoglio che uso ubuntu) e non sò fare un fake login! c'è un codice standard :)-D) da aggiungere al sorgente della pagina? 8preferibilmente che salvi la pass in un file txt!

???? uff a me nessuno mi caga mai... rispondete anche a me :ngheluver:
 
depravato ti ho risp: non so dove potresti trovare del codice già fatto. imparati l'html in 30 secondi e fattelo da solo :)

@ V1R5:
ma che domande sono??
con l'xss mandi una tipa a una pagina che sfrutta l'xss implementando un fake login in modo che salvi i dati da qualche parte
oppure semplicemente gli peschi i cookie (+ facile, ma la tipa deve essere già loggata) e li fai salvare da qualche parte...
 
LoooooL
Se fai un fake login e la vittima ci casca hai già la password, quindi i cookie cosa ti servono ?
Con l'xss non mandi nessuno da nessuna parte, e la xss non si implementa da nessuna parte...
L'xss al massimo lo puoi usare unita ad un cookie grabber unito ad un redirect.
Ma se fai un fake login non serve la xss.
Non è l'xss che prende i dati della vittima, è il logger che sta nella pagina del fake login, capito ? XD
 
volendo sì.
con l'xss inserisco codice html.
poi hai capito male: io intendevo
O fai il fake login implementato coll'xss (fai un form che RIMANDA a una pagina esterna quando si clicca sull'apposito pulsante action del fake login)
O prendi i cookie

tutti e 2 no, sono alternative.

dici che non è possibile?
se la metti così, cosa ci scommettiamo?
 
"O fai il fake login implementato coll'xss"

Oh, sarò scemo ma non capisco sta cosa...
cosa devi implementare ? xss che inseriscono codice html ?_?
Il fake login è la simulazione di una pagina di log-in di un certo sito, quando dai i tuoi dati un logger li scrive in un file che troverai succesivamente nell'FTP (se è impostato così)
L'xss non c'entra niente, con l'xss grabbi i cookie...
 
grabbare i cookie è 1a delle tante cose che puoi fare con xss. puoi anche fare un fake login...
te lo assicuro
 
Oh mettiamo d'accordo tuttie e due.. Attraverso una xss rimandate a un grabbber che quando ha finito a sua volta rimanda a una fake login.... avrete una % di sucesso + alta così solo ke bisogna essere tonti x cascarci
 
non bisogna essere tonti... non tutti sono appassionati di informatica... la maggior parte delle persone a cui chiedi "che computer hai?", ti risponderà "windows xp!" LOL!
 
Si beh quello è vero però non accorgersi ke l'indirizzo web del login è diverso di quello di badoo è dura....
 
V1R5 ha detto:
"O fai il fake login implementato coll'xss"

Oh, sarò scemo ma non capisco sta cosa...
cosa devi implementare ? xss che inseriscono codice html ?_?
Il fake login è la simulazione di una pagina di log-in di un certo sito, quando dai i tuoi dati un logger li scrive in un file che troverai succesivamente nell'FTP (se è impostato così)
L'xss non c'entra niente, con l'xss grabbi i cookie...

sarai pure registrato da Agosto, ma questa cosa dell'xss proprio non l'hai capita eh; non ti preoccupare, ma almeno non insistere quando non sai una cosa visto che

1-ho effettuato diverse volte "attachi xss" e non solo per grabbare i cookie

2-leggi cosa dice wikipedia sui xss: quoto la voce tanto è corta (così non devi nemmeno aprire la pagina di wikipedia...)

La Cross-site scripting (XSS) è una vulnerabilità che affligge siti web con scarso controllo di variabili derivate da input dell'utente (spesso variabili GET). La XSS permette di inserire codice a livello browser (spesso codice javascript pericoloso) al fine di modificare il codice sorgente della pagina web visitata. In questo modo un cracker può tentare di recuperare dati sensibili (sempre dati a livello browser) quali cookies.

Questa tecnica di attacco viene spesso utilizzata in siti con un elevato numero di utenti principianti, dato che per poter sfruttare questa vulnerabilità al fine di recar danno c'è bisogno di far visitare all'utente che si vuole attaccare una determinata pagina con le variabili GET modificate ad hoc.

per verificare la vulnerabilità di un sito bisogna inserire nel suo campo di ricerca del codice javascript facendo eseguire al browser una textbox sulla pagina. con un altro script è possibile anche inserire un redirect.

come puoi leggere con l'xss è possibile oltre al classico grab dei cookie anche eseguire qualsiasi codice javascript e/o html e quindi anche redirect (in js).
Quindi con xss puoi aggiungere al codice della pagina dell'altro codice html/js e quindi in aggiungere un fake login che ti manda su una pagina esterna i dati che vengono poi memorizzati tipo in un file di testo.

Pensi ancora di aver ragione tu?
Se non bastasse quoto anche questo che spiega anche come applicare un xss:
Come suggerito prontamente da Al, scrivo questa breve entry riguardo ad una semplice (anche se spesso pericolosa per il suo malevolo utilizzo) vulnerabilità XSS da me trovata nel motore del sito.

Le XSS sono delle vulnerabilità sempre più comuni ormai perchè si basano essenzialmente sulla distrattezza (o una semplice sottovalutazione) da parte del programmatore.
Queste vulnerabilità possono essere messe in atto quando si consente ad un user senza privilegi di fornire input al sito e, se vulnerabile, far eseguire codice arbitrario.

Solitamente si distinguono due tipi di XSS "remoti" e si differenziano per essere permanenti e non permanenti.

Nel sito di OpenSkills.info il motore di ricerca era vulnerabile (ora come potrete notare è stato corretto dai responsabili) di XSS non-permanent: infatti inserendo codice JavaScript nell'apposita textbox del motore lo si poteva far eseguire senza alcun tipo di problema.

Questo può risultare pericoloso quando per esempio si sfrutta questa vulnerabilità per rimandare la pagina ad un fake-login o ad un cookie grabber che potrebbe compromettere seriamente la sicurezza dell'intera board.

Precedentemente questo indirizzo:
http://openskills.info/search.php?search=%22%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript%3E&submit=Search
Permetteva di aprire un alert contenente i cookie correnti e volendo si poteva eseguire qualsiasi altro tipo di codice (per esempio un redirect).

Per rendere meno riconoscibile l'url (per cui meno sospetto) si può codificare il tutto in HEX url:
http://openskills.info/search.php?search=%22%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%29%3B%3C%2F%73%63%72%69%70%74%3E

Ora è tutto debitamente patchato, per cui la vulnerabilità è stata corretta e il "pericolo" (per quanto esso possa essere) sedato.

Altro da contestare?
Se sì, passerò senza problemi alla pratica facendo un fake login sfruttando vulnerabilità xss...

Nessuno mi aiuta a convincere V1R5 che ho ragione io...
credevo che questo forum fosse frequentato da persone leggermente più esperte...

:fattbe:
 
Stato
Discussione chiusa ad ulteriori risposte.