ubuyibuy 的一个 Bug

ubuyibuy 是一个香港的团购网站,不知道是不是属于 Groupon 旗下,只是看到在网站的 Logo 上标注的“Power By Groupon”。

发现这个Bug时,我第一时间通过邮件通知了 ubuyibuy,本打算是等到对方修正后才公布出来,但已经过了半个月,对方仍然没有修正。虽然这个Bug现在还存在,但还是劝大家不要去非法利用。

其实这个Bug非常简单,大概是因为程序在设计时没有全面的考虑到安全认证的问题。

打开 ubuyibuy 的网站,点击首页的“立即购买”按钮,填写对应的信息后点击“前往付款”,这时可以看到一个“清单确认”的页面,这个时候,不要去点击“前往付款”,而是点击“更新”。

这里注意看地址栏中的URL,在URL中会包含此次订单的编号。

带有订单编号的url

上面截图中的高亮部分“287759”就是此次订单的编号。

将这个编号改一下,我这里改为“257759”,然后在地址栏中打开修改后的URL,此时页面中就会显示 ubuyibuy 中相应订单的客户信息。

相应订单的客户信息

在“电邮地址确认”中输入与“电邮地址”相同的值,“密码”和“确认密码”我们就可以自己随便设置了,全部填写完成后,再一次点击“前往付款”,此时你的设置的密码就生效了。

接下来,你就可以使用之前出现的“电邮地址”和你输入的新密码来进行登陆了。

理论上这个网站中的所有注册会员都可以窃取,再进嘱咐大家,不要进行非法利用,由于此漏洞产生的一切责任与本文作者无关。

山西新闻网的跨站漏洞

跨站漏洞其实就是利用JavaScript脚本的一种攻击,原理很简单,看如下代码:

有点做网站的基础的话,都知道这是一个很简单的JavaScript,一般用在网页中的信息提示,然后再转向其它页面的效果,就是这么一段简单的代码,就有着非常惊人的杀伤力。有些人可以用跨站攻击来出售流量,或者“抓鸡”等等危害性很强的攻击。

这种漏洞一般出现在留言中,由于在入库之前没有对客户端提交的数据进行合法性判断,致使漏洞有机可乘,当其他人访问了显示这条留言的页面时,又由于没有对HTML脚本进行过滤,致使直接执行了JavaScript脚本,直接转向了带有病毒或者木马的页面,从而感染病毒。这种攻击对于流量大的网站是非法可怕的。

所以如果有留言之类的客户端不需任何验证即向数据库添加内容的功能,在入库前要对客户端的数据进行严格的判断。我的方法是直接禁用HTML标签,即带有“<>”的全部替换为空,再使用UBB来实现简单的文字效果。当然,我在显示留言的时候又做了一次判断,以保证数据的绝对安全。

山西新闻网跨站漏洞利用

山西新闻网跨站漏洞利用
图为山西新闻网的跨站漏洞利用

12321存在的危险(漏洞)

今天中午手机刚开机,就收到两条诈骗短信,内容分别是:

尊敬的用户:您在情缘点歌台有一首歌及朋友留言未收取,请及时拨打101764182收听.本条免费.客服010-60535769.B
发信人:13165954628


汇到这个账号 邮政储蓄60602003 9200202020户名:蒋敬生 那个号停了 汇完给这个手机发个短信就行
发信人:15518669057

我还从来没有收到过这种诈骗短信,只是以前在博友的文章中看到提及过。隐约记着有个地方可以举报这些诈骗短信,所以吃过午饭后便在Google中查找举报方式——“12321网络不良与垃圾信息举报受理中心”,可以使用短信的方式直接转发诈骗短信至“12321”即可,格式:“发信人*短信内容”。

网站还提供“举报短信查询”服务,输入你的手机号,通过短信内容将验证码发送到你的手机上,然后再进行“举报短信查询”,很方便、很安全的一个功能。自己最近在做一个WAP的项目,想了解一些关于无线通信的东西,所以便看了看12321的这个给手机发送验证码的功能,结果就被我发现这个低级而且杀伤力大的“漏洞”了。

可以通过一个URL给任意手机发送任意内容的短信,只要12321不去查,甚至可以做成“短信群发系统”,最可怕的是发信人是“12321”。很容易被一些人用来搞一些非法活动,例如中奖信息、罚款通知等等诈骗短信。

这个“漏洞”我已经通过E-mail的方式给予了反馈,大家也不要再试图进行非法利用,很有可能因此你被12321叮住?!酷

网页病毒猖狂,“域名纠错系统”成为病毒传播途径

中国联通(网通)的“域名纠错系统”成为网页木马的传播途径之一。

网友本对这个中国联通(网通)推出的“域名纠错系统”就有很大意见,没想到它尽成了网页木马的传播途径之一,希望中国联通(网通)在实行“霸王条款”的同时,加强自己的技术水平,让广大网民有一个安全、放心的互联网环境。

中国联通(网通)推出“域名纠错系统”已经有一段时间了,尽管这种服务存在很大的“流氓行为”,但网民也只有乖乖的使用。

今天在IE的地址栏输入一个网址时,由于网址拼写错误,所以就自动转到了中国联通(网通)推出的“域名纠错系统”服务页面。让人恼火的事情发生了,电脑突然慢了很多,紧接着“360安全卫士”和“诺顿”便出现查杀病毒的对话框,我时候我才意识到“域名纠错系统”页面中存在大量病毒。

同样存在网页木马的网站还有“山西新闻网(www.daynews.com.cn)”,作为山西有影响力的“媒体”网站,不知道这次让多少网民的电脑因感染病毒而丢失银行账号等个人重要资料。该网站中出现木马已经有长达3天的时间了。

20081123a0ew65.jpg
360安全卫士发现木马

“域名纠错系统”截图

“域名纠错系统”截图

“域名纠错系统”截图
诺顿发现病毒木马

“山西新闻网”截图

“山西新闻网”截图
通过Google进行检索,山西新闻网(www.daynews.com.cn)中的 46,100 个检索结果都被加入恶意网站标识

写给那些想要学习黑客知识的新手

直到今天,还是会有很多人加QQ向我请教关于黑客的知识。大多是菜鸟级的新手。无法忍受他们幼稚的提问“我现在要学点什么呢?”、“你可不可以教我怎么刷Q币”、“你可以帮我刷点Q币吗?”、“你好厉害,我好崇拜你啊!可不可以收我做徒弟呢?”等等这些令我讨厌的问题。

记的我在百度知道里回答过一个百度网友提问的问题

现在抓鸡都很难抓了,网马也只对没补丁的电脑有用,挂马是不是挂的就是网马啊?135的很难扫。都是写垃圾教程,谁有好的教程给他们分享分享啊!教教大家任务抓鸡,要实用的!谢谢了

我的回答是:人们互联网安全意识都提高了! 是这些所谓的黑客们推动了中国互联网的发展!可喜!

其实并不是网上的教程都是垃圾教程,并不是你的方法不对。只不过那些所谓的漏洞大多是因为网站管理员没有注意安全问题而产生的。现在随着互联网的飞速发展,网站管理员们也开始重视网络安全问题了,他们不再犯那些低级的安全问题,所以现在的漏洞也就越来越少了。

我其实也只会一些简单的注入、提权,在去年确实顺利的黑了CCTV,不过并不是因为我的技术高,而是我善于观察,关键是会找漏洞。

现在像暴源码、SQL注入、135、3389、1433这些漏洞确实是很少了,不过还是有的。

要是说什么刷Q币,我可以很确定的说现在基本是不可能。06年的时候我也很想刷Q币,当时网上只有广东可以用宽带充值Q币,所以我就入侵广东地区的网站,并且在上面挂马抓鸡。也得到不少宽带账号,并使用广东的肉鸡做代理登陆QQ宽带充值中心进行充值。充值过程中才发现,腾讯早对此做了限制:必需输入绑定宽带的固定电话的密码,所以这种方法充值已经不可行了

再说盗QQ。05年到06年期间,我一直在研究黑客技术,所以当时盗QQ也是难免要做的一件事。盗号无疑要用到盗号木马,所以在当时我使用的方法是入侵网站后挂马盗QQ。盗取到QQ密码后用社会工程学申诉QQ的密码保护。有一个QQ让我成功申诉了5回,最终没有申诉成功。盗QQ并不是你想要哪个QQ就能知道哪个QQ的密码,盗QQ要先让对方运行你生成的盗号木马,然后对方再重新登陆QQ,当对方中了你的木马后再登陆QQ时,输入的密码就会被你的木马记录并且按照你之前的设定发送到你的邮箱里或者网站中。

学习黑客也并不是为了盗取账号和其它信息,而是要通过入侵了解如何防止入侵。

曾经的那些黑客史

在06年一年的时间里,我几乎每天都在疯狂的学习黑客知识.那时候在网吧工作,每天晚上都睡的很远,每天晚上都会等着红鹰黑客基地的视频教程发布.

那时候我已经很熟悉3800HK出新视频的时间了,每天都迫不及待的在电脑跟前坐着很是耐心的看新出的教程,看完教程后就开始疯狂开始进行实践了!每天都会有10多个网站被我黑掉首页

我现在都很佩服我当时为什么对黑站的执着!最让我高兴的一次入侵就是借着其他人传的一个木马成功而且顺利的黑了CCTV.当时好象是利用JSP暴源码的漏洞入侵的.

哈哈,真贱的一个截图!!!