0-day forumcommunity, JS illecito reso possibile

Il fine della pubblicazione su questo forum di questo articolo è l'avvertimento a tutti di stare attenti a pagine sospette, spero che non mi fraintendiate...Non è stato pubblicato su nessun altro forum perché non è mio interesse divulgare la notizia, ma visto che voi siete il forum che preferisco ho deciso di pubblicare qua..

Poco tempo fa, vidi su un forum un post, dove un ragazzo di 16 anni scriveva di aver scoperto un exploit per forumcommunity/forumfree, i quali sono due delle più frequentate community per la creazione facile e veloce di forum, e come al solito il mio primo pensiero fu: "il solito lamerino che vuol farsi belloccio dicendo cagate...", così chiesi in modo arrogante se poteva aggiungermi su skype per farmi vedere questo exploit, del quale, ovviamente, dubitavo al 100%; ebbene, mi sbagliavo alla grande.
Il suddetto exploit permetteva di eseguire codice javascript non permesso da forumcommunity, come l'uso di un Iframe oppure la classica chiamata al document.cookie, e vidi con i miei stessi occhi, increduli, che FC grabbava come una cagna arrapata (WTF?? Roba da nerd)...
Così mi mostrò il suo forum e da lì, gli snocciolai l'exploit passo dopo passo finchè non riuscii proprio qualche sera fa a finirlo anche su un mio forum creato ad hoc...

Non mi ritengo creatore di questo 0-day, ma sono felice perchè finalmente le mie conoscenze sono bastate per trovare un bug in una grande community.
Per il momento non ho intenzione di segnalare il bug, forse perché, nella mia immaturità morale, lo considero quasi un tesoro personale.
Comunque sia, ho postato lo screen del forum su cui l'ho provato, il quale ovviamente ho cancellato, per mostrarvi che non dico cazzate.

Vorrei, con suo consenso, dire esplicitamente, che il suo nick è huggye e ne approfitto per ringraziarlo molto...

Scrivo comunque questo articolo, perché sono rimasto abbastanza deluso dalla sicurezza di forumcommunity, che non filtra i codici che riceve, e per avvertirvi di stare attenti, perché tramite questo bug, siamo riusciti anche a immettere un fake-login nella pagina.
Per sicurezza, quindi, controllate sempre se avete effettivamente fatto il log-out o è solo la pagina che "fa finta che voi noi siate loggati".

A presto...

FONTE: DuxHack

Edited by -Und3tect3d- - 12/6/2012, 12:21

Sei tanto immaturo quanto lamer.

Schifo, doppiamente, perchè: primo non hai scoperto tu il bug e secondo perchè non lo vuoi segnalare.

Schifo.

Beh è interessante, ma dovresti segnalarlo allo staff di forumcommunity, noi (io) non ce ne facciamo niente.

La mia considerazione verso i tuoi commenti, soprattutto commenti fatti senza neanche leggere e voler comprendere il post è 0.

Th1sk sto pensando seriamente di farlo però mi voglio divertire ancora un pochetto (non mi interessano password, ma mi interessa solo vedere fino a che punto si può arrivare)...Comunque sia il mio era un avvertimento...

ps: Poi, non so voi, ma io appena ho sentito da questo la presenza di un bug l'ho cercato e l'ho trovato da solo (quindi magari potreste provarci anche voi)...se non avete niente da fare provateci...

Scusa la franchezza, ma sei idiota o cosa? SEGNALALO, e subito anche. A cosa cristo serve scovare i bug (bravo huggye, non tu) se poi non li segnali? serve solo a dimostrare che sei lamer.

Vuoi i complimenti perchè hai 'trovato' (come se fossi stato tu) un bug su forumcommunity? ok dai te li faccio così da bravo bambino di 6 anni sei felice, e te li faccio in modo che tu li possa capire: 6 bravixximo!!!1!! cm kavolo ai ftt?!?!?!?! 6 il migiore h4x0r del mndo!"1"%!"!!!"

.-. segnalalo.

Edited by I.Ren - 12/6/2012, 14:33

Mi ritrovo ad essere d'accordo con I.Ren, devi assolutamente segnalare la cosa allo staff di forumcommunity e non capisco nemmeno il motivo per cui tu non voglia farlo.
Per quanto riguarda questo post suggerisco di cestinarlo e di warnare l'utente.

Saró idiota io ma se tu non leggi...Temevo che sarebbe andata così non mi serve un worm LOL me ne vado ... Il mio era un avvertimento (l'ho ripetuto 3 volte) ciao ciao..potete cestinare

Ho letto ed ho capito che tu vuoi "avvisarci" e vuoi lamentarti della sicurezza di forumcommunity ma non capisco perché tu non vuoi mandare 'sto benedetto 0day, exploit o come cazzo lo vuoi chiamare allo staff di forumcommunity per permettere di risolvere il problema.
Vattene pure se vuoi, io non ti tratterrò.

Doch88 apprezzo veramente perché finalmente tu non mi hai frainteso...Comunque sia quando ho scritto l'articolo non volevo inviarlo però come ho già detto sto pensando seriamente di segnalare il bug ma vorrei prima vedere fino a che punto si riesce ad arrivare, anche per divertirmi un pò...

IRen, i tuoi commenti sono veramente incommentabili, ti invito a evitare di continuare a rispondere in questa discussione perché il tuo commento NON MI INTERESSA.

Ecco, questo mi fa incazzare. "sto pensando di segnalare il bug ma ora vedere fino a che punto si riesce ad arrivare, anche per divertirmi un po'", se devi segnalarlo lo devi fare subito, senza aspettare e senza usarlo. Poi com'è che vuoi divertirti? Vuoi divertirti alle spalle di qualche forum per poi essere scoperto ed essere denunciato?
Perché, se non lo sai, quello di cui stai parlando non è proprio legale.

allora quoto:


ho omesso questo piccolo ma grande particolare perché l'avevo già detto...
Con questo voglio dire che le mie intenzioni sono quelle di vedere fino a che punto questo bug si possa espandere e quando arriverò a delle conclusioni concrete segnalerò il bug, ho deciso.

oh dear god shut up!

non vuoi segnalare, obbhe, figliolo le vie della vita sono tante, scegline una e vattene affanculo!

almeno finche' fai la figura del lamer, non sei il benvenuto qui

e finalmente quoto doch

PS: Regolamento del Forum Articolo 2 ; comma 4

PS 2: Una cosa 'e postare una cosa per scopi di informazione, mentre l'altra 'e voler farsi la figura del lamer

PS 3: Sfortunatamente per te, io odio i lamer

sto ridendo da mezz'ora AHAHAHAHAHHAHAH bellissima!

Questa la metto in firma.

Direi che quoto tutti e approvo in pieno la scelta di master..