XSS w Onet.pl: Linux już nie darmowy…
- Dodano: 8 listopada 2007
- Wprowadził: michuk
- Komentarze: 72
Cross-site scripting (XSS) to sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika.
Tyle wstępu. Teraz do meritum:
Wczoraj na Onet.pl ukazał się następujący nius:
W ciągu najbliższych dni Polska stanie się jedynym krajem na świecie w którym użytkowanie systemu operacyjnego Linuks nie będzie darmowe. Wszystko za sprawą nowej ustawy o ochronie praw autorskich, którą zamierza wprowadzić PiS przed przekazaniem rządów Platformie Obywatelskiej. W myśl ustawy każdy komputer podłączony do internetu musi zostać zarejestrowany w stworzonym na ten cel Krajowym Rejestrze Teleinformatycznym. Jak tłumaczy minister rejestr ten wielokrotnie zwiększy wykrywalność przestępstw internetowych – zwłaszcza nielegalnego ściągania filmów, oprogramowania oraz muzyki.Rejestracja w systemie ma być darmowa jedynie dla nowo rejestrowanych systemów operacyjnych Windows. Dane użytkownika rejestrującego produkt Microsoftu będą automatycznie przekazywane do KRT. Właściciele komputerów z już zarejestrowanymi systemami oraz ci którzy używają innych systemów operacyjnych jak min. Linux czy Mac OS będą musieli wnieść jednorazową opłatę za każdy komputer z dostępem do internetu. Wstępnie cena rejestracji została oszacowana na 47zł.
Oczywiście nius jest wynikiem wykorzystania luki bezpieczeństwa w Onecie. Więcej napisał na ten temat VaGla w swoim serwisie: Cross site scripting i „Linuks już nie darmowy”.
Aktualizacja 9/11/07: Onet.pl załatał błąd dziś w godzinach porannych. Koniec zabawy 
Wszystkich którzy dali się nabrać na poprzednią wersję niusa, chciałbym uspokoić, że to oczywiście fake, co można było poznać m.in. po dodanych tagach.
Więcej informacji: http://prawo.vagla.pl/files/fake_onet_pl..._linux.jpg
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
72 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Dorzuciłbym tag "fun" jeszcze. Dobre
Już nie działa. Onet to zablokował. Szkoda
Już nie działa. Onet to zablokował. Szkoda
Więcej informacji o tym hacku na
http://prawo.vagla.pl/node/7559
fajne!
Szkoda ze to jakis hack na stronie? o co chodzi? niech ktos wyjasni?
po wywaleniu bzdur z adresu dziala juz okej.
Rozumiem ze to pokazowka na bezpieczenstwo onetu?
Ale popatrzcie ile ludzi się nabrało – także na onecie
Brawo hackerzy!
taaa, trzeba bylo patrzec na tagi
rzeczywiscie! A news dobry, przez chwile juz mialem zawal.
OMG, ależ BOSKI HACK !!
Toż to lepsze niż http://oniet.o0o.pl/, wasarrested.com i inne FAKE'owe newsowe serwisy !!
Teraz można komuś zrobić dowcip na pół-serio LOL
To jeszcze nie koniec. Ciąg dalszy historii:
<img src="http://prawo.vagla.pl/files/fake_onet_Steve_Ballmer_1.jpg" alt="Steve Ballmer podał się do dymisji" />
Co się dzieje, co się dzieje…
Zdolne
Kto na to wpadł?
a juz organizowalem ekipe do warszawy….
Sam już nie wiem, śmiech przez łzy…
Na dobrą sprawę komputer, łącznie z oprogramowaniem, możnaby chyba uznać za narzędzie. Jeżeli państwo każe mi płacić za moje narzędzie tylko dlatego że zostało wyprodukowane przez firmę która który nie ma głównej pozycji rynkowej, czy jest tańsze itp., to ja czuję sie dyskryminowany. Przypuśćmy, że nagle po polskich drogach, bez żadnych opłat mogą jeździć jedynie Fiaty. Reszta musi się rejestrować i płacić. Nawet PRL by tego nie wymyślił ;/
to jakas totalna bzdura i nie ma racji bytu, bo na wstepie kogos dyskryminuje. Nie ma szans zeby to mialo jaka kolwiek moc prawna.
Moze jednak poczekajmy na inne zrodlo niz onet?
no dobra, tez sie dalem nabrac. Niezle
Ale musze przyznac, ze niezdrowe mam podejcie do takich tematow, zamiast sie chwile zastanowic odrazu gore biora emocje. I chyba nie tylko ja tak mam.
Czekam na newsa pt. Microsoft porzuca rynek systemow operacyjnych i zamierza zajac sie produkcja wykalaczek. Czekam 20 lat
O nie! Tylko nie wykałaczek!
Jeszcze się będą łamać i zostawać w zębach albo je dziurawić.
lol, ja już z kumplem topory wykopałem;]
Cwana luka w onecie.
Nawet jest dłuższa wersja ;D
http://www.wykop.pl/link/32698/od-1-stycznia-cenz…
Oczywiście to XSS.. ale można ładnie kogoś wkręcić
To jest Fake
"Gratuluje poczucia humoru. "Linuks już nie darmowy" – taki tytuł można zobaczyć w layoucie Onet.pl pod adresem, który krąży sobie po różnych komunikatorach, czatach i w inny sposób. Znaleziono kolejny sposób na sianie fermentu, tym razem z wykorzystaniem właściwości największego polskiego portalu. Fajnie."
"Cross-site scripting (XSS) to sposób ataku na serwis WWW"
źródło:
http://prawo.vagla.pl/node/7559
No co ty, fake?.. Ee, gadasz
A u mnie ten trick nie działa … dostaje news o najlżejszym notebooku na świecie….
Wniosek: chwile pomyślałem i zamiast Konguerora odpaliłem Firefox … i coż teraz już działa ….
Widać Konqi jest odporny na takie brzydkie sztuczki
A mój firefox się nie nabrał, także mam info o notebooku.
pozdr
Radek
mi noscript zablokowal skrypty, pozniej jak odblokowalem to wykryl xss czy jakis taki komunikat
i dopiero jak pozwolil na "niebezpieczne polaczenie" to obejzalem 
@michuk – może opatrzyłbyś artykuł linkiem do vagli – bo to wygląda jakby osnews.pl nabrał się na ten fake; a nie warto powtarzać głupot
Sprawdź tagi
A będą jakieś zniżki dla studentów oraz emerytów i rencistów?
dla emerytow i rencistow jak najbardziej, bo sprzyjaja Ojcu Dyrektorowi. :]
a studentom sie srube dokreci zeby nie fikali.
nie cierpię głupich njusów >:-/
a u mnie w firefoksie ani nigdzie indziej nie działa… onet naprawił czy jak?
tak, kolo 13
Czy dziś pierwszy kwietnia?
Mnie nigdzie nie działa, o czym wy mówicie w ogóle…
Bo już na onecie zdążyli to naprawić…
Ato jest przykład skryptu generującego taki link
W PHP.
<code>');function x(){x('";
function strtohex($str)
{
$ret = '';
for ($i = 0; $i </code>
Brakuje tagów omg i rotfl
<code>
//tutaj wpisujemy swój skrypt
$some_string = "');}document.write('');function x(){x('";
function strtohex($str)
{
$ret = '';
for ($i = 0; $i </code>
kurde nie chce się wkleić
No i się skończyło. Luka załatana koło godziny 10.30
Szkoda, bo tak było bardzo ciekawie
To nie było szmieszne. Trace szacunek do tego wortalu.
Proponuje zdjąć to z newsów bo siejcie panikę i zamęt. Żartów Wam się zachciało. Pomyślcie o takich co czytają tylko newsy pobieżnie nie wchodząc na źródło… Nie ma to jak strzelać do własnej bramki.
No dobrze, koniec zabawy — nius zaktualizowany.
Jeszcze proponuję s/[Ll]inuks/[Ll]inux/ łącznie z "Viaglą"
Oprócz odmian oczywiście :p
u mnie tez skrypt na FF nie zadziałał, ale nabrać się nabrałem, qrcze po Kaczorach wszystkiego można się spodziewać
Dobre
a mnie to zasmuciło. Widać jakie społeczeńswo ma poglądy na produkowane przez rzadzących absurdy.
Nie dziwi nikogo nic!
Przerażające jest to jak wielu dało się na to nabrać ,albo założyło że jest to mniej lub bardziej prawdopodobne ( wliczając w to mnie ) .
A tych którzy to od razu przejrzeli można by zapewne policzyć na palcach jednej ręki , pomysłodawcy dobrze to wkomponowali w nasze realia polityczne ( nie tylko polskie http://nt.interia.pl/internet/wiadomosci/news/obc…
) .
Smutne jest to że my wszyscy liczymy się z tym że ONI nas mogą pozbawić podstawowych praw a my …
I oczywiście najprawdopodobniej był ty tylko zabawny FAKE ,ale niestety istnieje jeszcze inna mozliwiść .
Mianowicie celowe i zamierzone sondowanie przez ONY-ch , i możecie sobie myśleć co chcecie i wyzywać mnie od teorii spiskowych , a ja i tak swoje wiem .
Wiem co to NSA CIA czy inne głęboko zakamuflowane organizacje i tyle powiedziały by motyle
To, że większość uznała niusa za prawdopodobny (lecz przecież absurdalny, bo rząd nie uchwala ustaw, tylko Sejm, hehe), dowodzi tylko tego, jak dalece czarny pijar stworzono wokół PiS'u.
Sejm ustala ustawy i co może jeszcze reprezentuje wolę narodu co ? hehe
Prawda jest taka że większość ustaw powstaje z inicjatywy rządu a sejm je co najwyżej nieco zmienia , a w zasadzie tylko przyklaskuje rządowi .
Bo i po co jest dyscyplina partyjna , większość parlamentarna , itp. układy powiązania itd
ano po to żeby wąska grupka "kaczek" miała pełnie władzy i mogła robić co chce .
Iiiia wiem teraz nie ma już k'kaczek teraz mamy Kaczora'o z imienia , tak jak w pewnej amerykańskiej kreskówce
Homo-sapiens w po osiągnięciu pewnego wieku zazwyczaj przestaje wierzyć w Św. Mikołaja , a gdy … to w to że mamy demokrację
Demokrację mamy i można się było o tym przekonać w ostatnich tygodniach. Jak władza narodowi podpadnie, to naród może ją zmienić. A nowego kaczora mamy od dzisiaj, więc jeszcze nie miał szans żeby narozrabiać i lepiej dla nas wszystkich by było, gdyby mu się narozrabiać nie udało…
Właśnie zrobiłem to samo na wp.pl
http://tnij.org/linux_juz_nie_darmowy2
Uh… czekam aż to samo pojawi się na jakilinux
Nie — broń panie b. nikogo nie prowokuje
BTW. rozpoznanie takich stron – jak dla mnie takich rzeczy powinno się uczyć w szkole – jak rozpaznawać strony fake przyda się chociażby przy korzystaniu z banku przez internet
To by nawet nie było aż tak bardzo nieprawdopodobne. W końcu już dzisiaj płacimy pseudopodatek za posiadanie innego urządzenia komunikacyjnego – telewizora. Ten pseudopodatek nazywa się abonament i służy finansowaniu rządowej tuby propagandowej (każdego właściwie dotychczasowego rządu, choć trzeba przyznać, że mistrzostwo osiągnęły SLD i PIS). Ja tam bym się taką regulacją nie zdziwił. W tym kraju wszystkie głupie pomysły są możliwe…
haha teraz wkręcam znajomych ale na wp
na wp.pl też to naprawili
U mnie nadal dziala. FF 2.0.0.9
A ja nie mam telewizora bo mam kartę telewizyjną
I mogą mi naskoczyć. Zresztą nikt nikomu nie karze wpuszczać nikogo do domu.
Onet nadal jest dziurawy. Prosty przykład:
http://tnij.org/onet_nadal_dziurawy
To tylko alert, ale document.write z 'script src' też można wkleić.
No dobra, przykład podmienionego artykułu w serwisie biznes.onet.pl:
http://tnij.org/onet_wciaz_dziurawy
Metoda czołgowo-młotkowa, ale działa. Dodatkowo podmieniłem pierwszy komentarz – w sumie można wygenerować całą listę samych fałszywych komentarzy, dodatkowo uwiarygadniających artykuł (komentarze "nie na temat" zwracają uwagę, że z artykułem jest coś nie tak).
ladnie, ladnie…
inny wydzial onetu, to juz nie poprawili
widac tam kazdy przejmuje sie tylko sprawami swojego wydzialu, a nie wizerunkiem calej firmy
Jak można wykonać na jakiekolwiek stronie własny kod to możesz zmienić w niej wszystko … Nawet możesz dodać jakiś złośliwy skrypt który np przy otwieraniu strony przez Internet Explorera np: zainstaluje nowego Trojana :d
na ie ponoc wymieniony link nie przejdzie – przynajmniej tak slyszalem, a za bardzo nie mam jak zweryfikowac…
Być może – nie mam msie, nie mam jak sprawdzić. Z tym, że to i tak tylko proof of concept – dziura jest, widać ją i o to chodziło.
Nawiasem mówiąc, zastanawiam się, ile czasu zajmie onetowi poprawienie walidacji URL-i we wszystkich swoich serwisach… Jeśli te serwisy są niezależne od siebie, to będą mieli trochę roboty.
No i już naprawili na wp.pl… Ale to pewnie dlatego że posłałem im maila w którym napisałem że mają lukę…
Naprawili tak jak onet – tylko w jednym miejscu. W innych podserwisach nadal mają podobne błędy…
http://tnij.org/wp_dziura
(testowane tylko pod mozillą)
Inny przykład w katalog.wp.pl (tak na szybko – tylko alert javascriptowy):
http://tnij.org/wp_dziura2
Teraz już tylko wyświetla <body onload="javascript:alert("hejka")"> jako normalny tekst.
Ale nie podziękowali
Właśnie dostałem podziękowania… Ciekawe czy naprawią wszędzie… I ile im to zajmie
I’d have to clinch the deal with you on this. Which is not something I usually do! I really like reading a post that will make people think. Also, thanks for allowing me to speak my mind!
If most people wrote about this subject with the eloquence that you just did, I’m sure people could do much more than just read, they act. Great stuff here. Please keep it up.