Hei.

Jeg har oppdaget et XSS hull i nettby som lar meg laste opp javascript, men jeg lurer på hva jeg skal lage...
Det jeg har planlakt er og få logget ut brukerene med og laste inn en annen cookie, for og så at de logger seg på en side med keylogger.
Er jo 18 og redd for at jeg får bot eller noe.

BTW, det er folk som sier at de har blitt straffet med bot...

Du sier du får lastet opp javascript...mener du da at du har funnet et "persistent xss" hull?
Browser Helper Object er jo en fin vei å gå...

;-)

Du kan få en MYE strengere straff enn bot. Oppfordrer deg å ta kontakt med nettby i stedet for å bruke kunnskapene dine på å ødelegge for andre.

Du kan i verste fall bli tiltalt under "Hacker-paragrafen" og den har strafferamme på opp til 6 månder.

Hvis du er heldig får du kanskje nettby max også!

Når var det plutselig moralens klamme hånd la seg over FF?
Jepp, det er helt klart straffbart det han snakker om. Og ja, det er absolutt noe han kan bli dømt for...

...men så kan man jo også benytte tråden til å diskutere hva man faktisk kan få til med XSS også. Og spesielt et persistent xss, hvis det er det vi snakker om.

Du kommer ikke til å bli den første som har gjort noe sånt, MySpace ble utsatt for noe lignende, men det var ikke straffbart.

http://www.betanews.com/article/Cros...ace/1129232391

Jeg moraliserer, av flere grunner:

1) Jeg kjenner de som driver Nettby.no (hensynet til den fornærmede parten)
2) Jeg driver Biip.no selv (allmenhensyn)
3) Gutten er tydeligvis ikke akkurat en "hacker on steroids", og risikerer derfor en streng straff for "guttestrekene" sine (hensynet til personen selv)

Med andre ord: Det kan ikke komme noe som helst positivt ut av denne tråden. Diskusjon rundt exploits kan man evnt. ta i en dedikert tråd?

Kan det komme noe som helst positivt ut av en dedikert tråd, hvis du tenker på de tingene du nevner?
Jo - neste gang kanskje vedkommende ikke sier noe eller ikke spør når han finner en sårbarhet på biip.no eller nettby.no, slik at man kan få snappet det opp. For svaret står jo der allerede. Da kan jo noen bare lese om triksene og utføre det...

Så hvis 1) og 2) stemmer, så burde vi kanskje unngå å snakke om potensialet i XSS totalt. Det kan jo slå tilbake på deg eller noen du kjenner...

Eg ville gitt dei to uker på å fikse problema sine. Om dei ikkje har fått ut fingen etter to uker ville eg konkludert med at dei faktisk ikkje hadde tenkt å fikse det, og publisert detaljane en høvelig plass, gjerne med kopi til nettby-folka.

Gi dei en sjans. Griper dei ikkje den er det IMHO totalt fair å dra ned buksa på dei. Husk at responsible disclosure bare funker om trusselen om full disclosure er alvorlig meint, og blir tatt alvorlig!

Jada, jeg nekter ham ikke å hacke jeg - jeg bare gir ham et veldig godt råd; som jeg baserer på hensynet til hans egen fremtid.

For min egen del, så kan han hacke Nettby til han blir gul og blå - det kommer uansett bare til å slå negativt tilbake på ham selv.

Dessuten bruker du feil logikk; "La ham hacke, slik at Nettby kan skjerpe sine sikkerhetsprotokoller" er ikke et logisk utsagn - fordi den andre delen av setningen kan like gjerne forekomme, uten at han hacker Nettby. Han kan nemlig, som Ripz allerede så elegant har foreslått, rett og slett tipse de om sikkerhetshullet - så slipper han politianmeldelse og erstatningskrav. Smart, hva?

Bingo

Det er forskjell på å diskutere våpen generelt, og ulike måter man kan gjennomføre et attentat mot Jens Stoltenberg på.

Vi gir Nettby 2 uker, blir ikke sikkerhetshullet fikset, så slakter slashdot de =)
Som det ble nevnt her, anbefaler jeg cr4zycat om å tipse problemet, slik at de kan dekke den.

Nettby har vel slitt en del med exploits før .
Husker selv jeg satt og laget actionscript som endret siden , lagde en fake login og snappet brukerens passord når de prøvde å logge inn igjen .

Støtter slashdot , gi dem 2 uker før du eier dem , bruk de 2 ukene til å lage et hardcore system som endrer profilene til de du har passord på og deretter spammer brukerne med "nudepiczofme.exe", om du skjønner tankegangen .

Kan nesten garantere at de ikke har fått fingern ut av stumpen på 2 uker, så du er rimelig safe om du vil gjøre noe kødd.

Pekefinger :
Stormen oppsummerte denne greit, gidder(trenger) ikke legge til noe .

Forstår ikke helt spørsmålet? Hva mener du?

Hvorfor kan du ikke bare sette deg på en internettkafe eller et lignende sted hvor man ikke kan spores og gjør det?
Bare lag en ny bruker osv.

Man kan vel ikke bli sporet da?

Ville du syntes det var greit at folk lette etter svakheter og sårbarheter på biip.no, så lenge de informert deg om sine funn først?

Ja, hvis f.eks du da - som jeg regner med du sikter til - leter etter feil på Biip.no og finner de, for så å tipse oss om det, så syntes jeg det er helt greit. Da gjør du jo en gratis konsulentjobb for Biip.no.

Poenget med å si i fra, er at nettby skal få mulighet til å tette hullet før det blir offentlig kjent.
Så litt av poenget blir borte hvis du deler det her...

En hel del whitehatcrackere benytter denne metoden (lest i bok av Kevin Mitnick; The art of intrusion):

1: Finne sikkerhetshull
2: Dokumentere (hvordan funnet, hva det kan brukes til)
3: Gi beskjed
4: Vente til sikkerhetshull tettet (om de bruker for lang tid er det bare å gå til #5)
5: Gå til media med det (mange misliker dette)

Evt. t.o.m. foreslå hvordan tette.

Veit om hullet, kan være stor fare alt etter hva du bruker det til. ^^ Phishing redirekt feks (en av de lettere tingene)

Nettby har jo hatt noen litt merkelige prioriteter når det kommer til sikkerhet. XSS-hull har de vært flinke til å tette, og de jeg har rapportert et par selv har blitt fikset nesten umiddelbart. Er ikke så lett å tette alt når de må gå for en allow-all-deny-x,y,z-strategi på profilene til personer [men dette kan så klart ha blitt forandret siden sist jeg var innom] og tillater inkludering av blant annet flash. Da jeg la fram hvordan en JS-orm enkelt kunne spre seg rundt var de også veldig raske med å fikse dette (dog jeg mistenker at de hadde systemet med keys klart allerede), men de feilet i å la funksjonen for å gi bort Nettby MAX til andre være en enkel link. Var så simpelt at en kunne putte en stor link på profilsiden sin og så fikk du MAX hver gang noen trykket på den - mens de betalte. Alt dette ble refundert og ordnet opp i, men jeg synes feilen ble stående alt for lenge, og denne førte til økonomiske følger for brukere!

Uten å være for moraliserende så ville jeg ikke valgt å gå for phising/scamming/etc. hvis du ikke sitter på nok kunnskaper om dette (noe det tyder på siden du lager tråden). Gå heller for 'greyhat' og lag noe Javacript-tull som er irriterende, men ikke farlig. Lærer mye av hvordan du forklér koden din når du skal unngå filtere, og er minst like moro. Eksempler er å videresende til Rickroll, minimere/resize-ting, bevege alle bildene på siden rundt i åttetall, eller alertspam (irriterende, men lett å stoppe i f.eks. Opera).

Jeg ble ikke redirecta til 1227.com nå, testa før idag også

Alle som er venn med meg da seff.

jeg har sakt i fra til fredrik, problemet blir fikset i morgen.

XSS hullet ligger i tittelen på arrangementer og fucker opp loggen.

Man må registrere med nummer som man får tilsendt passord.
Så hjelper ikke om hvor du sitter, de finner deg på tlf nummeret allikevel.

Har alltid lurt på om følgene scenario faktisk er lov, eller om det er utpressing?

Scenario:
Du går innpå ett eller annet web community og finner et sikkerhets hull.

Du gir beskjed til de som driver siden og lover å vise de sikkerhets hullet for en pris, VIP medlemskap, evig Nettby Max, penger eller lignende.

Dere gjør "handelen" via en tredje part.

Det er ikke utpressing med mindre du truer med å utnytte sikkerhetshullet dersom de ikke betaler. Da har de valget til å enten finne det selv, eller å betale deg for å avsløre det

Ja om du legger inn en trussel er det utpressing.

www.sendgratissms.com

Feilen har blitt rettet opp. Noen som missbrukte feilen i dag tidlig.

Ja jeg vet det.

Men jeg vet om 3 XSS feil som nettby ikke enda vet om.

Ta kontakt med de som drifter nettby, og forklar hvor XSS-hullene ligger.

cr4zycat: jepp. det var ikke bare ett.

Siden du er såpass "flink/oppmerksom/heldig.. whatever", så kan du kontakte nettby i si i fra, i stedet for å briefe med alt du kan, og evt. ødelegge for flere uskyldige nettbybrukerer.
- Takk for fornuftige ord Stormen.

ehm, loggen? er det derfor jeg plutselig har sinnsvakt mange hendelser i loggen (egentlig ikke, men mange gamle blir tatt med i tellinga...)?