terça-feira, novembro 28, 2006
FALHA DE SEGURANÇA GRAVE NO ORKUT
Seguinte, galera.
Segundo o Cocadaboa, foi encontrado um novo bug no Orkut, que atráves de um javascript permite que você se aproprie de comunidades alheias. Sim, é sério. Já tava demorando demais mesmo pra aparecer outra merda no Orkut, eu tava até estranhando.
Ah, você quer saber como?
Bem, é só ler a explicação abaixo, retirada do próprio Cocadaboa:
E já estava demorando pra aparecer um novo bug no orkut, desses que hora ou outra acaba com o sono dos moderadores das grandes comunidades.
A nova falha, descoberta por um hacker brazuca chamado Klay, parece ter sido encontrada no começo de Novembro mas só divulgada (ou vazada) publicamente ontem, dia 26.
A vulnerabilidade é novamente do tipo XSS, e neste caso foi achada na página responsável por visualizar e postar scraps: scrapbook.aspx
A diferença é que desta vez, programadores amigos do hacker criaram um script que automatiza totalmente o roubo, fazendo a transferência de todas as comunidades de um moderador para um profile determinado. Tudo numa paulada só e em menos de 1 segundo.
E como acreditamos que o bug só será sanado se sair do 'underground' e for amplamente explorado, o Cocadaboa ensina em 4 passos, como proceder pra você também fazer parte desta putaria:
1 - Baixe a exploit original: http://orkutexploits.90megs.com/exploit_xss_26-11-06.js
Este arquivo .js (javascript) deve ter apenas a primeira linha alterada, onde deve conter o UID do profile que irá receber as comunidadade por você sequestradas.
2 - Após alterá-lo, hospede o arquivo num freehosting qualquer e anote o endereço, que vai ser útil agora, no terceiro passo.
3 - Edite a linha do código abaixo, trocando o www.site.com/arquivo.js pelo endereço do servidor onde você hospedou o js, e o nome do js. Exemplo: www.geocities.com/hacker/bug.js
4 - Último passo: Pra mascarar este link pra lá de suspeito, crie um redirecionamento em um site como o tinyurl.com, e poste a url gerada, no scrapbook da vítima (moderador).
Se você fez tudo direitinho, quando moderador clicar no seu link, você vai automaticamente receber em sua Home todas as comunidade dele, prontas pra você aceitar a transferência e ser o novo dono!
Lembre-se de após o roubo, devolver as comunidades. ;)
Vinícius K-Max
Tem blogs por aí fazendo leitor de otário, se aproveitando da situação pra fazer nego trabalhar por eles. Escrotice demais.
Enfim, divirta-se ;D
Escrito por Eduardo @ 2:09 PM, |
O autor
Eduardo Carvalho
Essa imagem retardada aí do lado veio com o template. Em tese, eu deveria trocá-la por uma foto minha e colocar um perfil aqui - porém, isso dá uma certa mão-de-obra. Por conseguinte, essa porra retardada permanecerá aí do lado enquanto a preguiça não me permitir tirá-la. Portanto, provavelmente, até o fim do ano. De qualquer forma, não me incomoda muito. Enquanto isso, eu tenho que deixar um texto aqui enchendo linguiça, pra tentar preencher esse retângulo. Juro que fiz meu máximo.
Sobre o blog
Esse blog foi criado no início de 2003, há cerca de 6 anos atrás, quando eu era um pivete que nem sabia escrever direito ainda. Portanto, eu não recomendo os arquivos. Eu fazia piadinhas bobas e sem graça. Quanto ao nome, "Faz Sentido", refere-se á uma expressão que eu usava muito na época. Disso, eu não me envergonho tanto. Criar nomes para blogs não é fácil.
Duvida?
Pensa num aí.
Feedback
Você pode me contactar de algumas maneiras, se quiser. A primeira é comentando os posts do blog - tendo conteúdo, ficarei feliz. A segunda é me mandando um e-mail, sobre algum assunto referente ao blog. A terceira é me deixando um scrap no Orkut - gosto da idéia, já que posso saber melhor quem você é. A quarta é comentando meus futuros vídeos no YouTube, que começarei a gravar em dezembro. Resumindo: você pode me contactar de tudo que é forma possível, até com sinal de fogo se quiser, contanto que tenha algo a dizer.