Nerd blog!

Ezen az oldalon gyűjtöm az elém került informatikai problémákra talált megoldásokat, hátha másnak is hasznos! Ha itt végeztél kikapcsolódás képpen nézd meg a másik blogomat is: NapiGeek blog. DE TÉNYEG, OKÉ?


Címkék

1.6.0 65 (1) 10.10 (2) 10.11 (1) 10.7 (1) 10.8 (1) 10.9 (2) 100% (1) 101 (1) 1280x720 (1) 1280 720 (1) 16 9 (1) 180fok (1) 1920x1080 (1) 1920 1080 (1) 2009 (1) 2010 (1) 2011 (1) 2012 (1) 2013 (1) 2014 (1) 2015 (1) 30 days trial (1) 3d analyze (1) 3gp (1) 444 (1) 4s (1) 5.1 (1) 5s (1) 6 (1) 7 (2) 7.1 (1) 7zip (2) 8 (2) 80-as évek (1) 80s (1) 8q (1) 9 (1) a (2) ablak (1) ablakkezelő (1) ablakok visszaállítása (1) adatbázis (1) adatok (1) adblock (2) adblock blocker (1) adblock plus (1) agyhalál (1) agyhalott (2) air (1) akaraterő (1) akkumulátor (1) alapértelmezett program (1) alapján (1) alcatel 1010 (1) alcatel 1060 (1) alert (2) alfa (1) alkalmazás (3) all (1) allegro (2) allegro5 (1) alma (1) alt (1) android (4) animáció (1) animált (2) animated (1) anonimitás (1) apache (1) api (1) app (4) apple (16) application (1) appstore (1) április1 (1) apró (1) aranka (1) arány (1) archivum (2) asset (1) asztal (1) átköltözés (1) átlátszó (1) átlátszóság (1) átnevezés (1) atom (3) átparticionálás (1) átverés (2) audio (3) audioblog (1) automator (1) avi (1) awalt (1) azonosító szám (1) background (1) background play (1) backup (1) bash (3) bash script (1) basic (1) basictex (1) bat (1) batch (1) bbradio (1) bbtv (1) beállítás (4) beállítása (1) beállítások (6) becsomagol (1) becsomagolás (1) beépített bemenet (1) beépített kimenet (1) bekapcsol (1) bekapcsolás (1) béláné (1) belassít (1) beleegyezés (1) belenézni (1) béta (1) betömörít (1) betömörítés (1) betűjel (1) betűméret (2) bevétel (1) bg (1) bicepsz (1) billentyűkombináció (4) billentyűparancs (3) billentyűzet (2) bin (2) bináris (1) biotech (1) bix (1) biztonság (2) biztonsági (1) biztonsági mentés (1) biztonságos (1) biztos a lomtárba helyezi (1) black texture (1) blade (1) blender (1) blink (1) blog (45) blog.builder.hu (1) bme (1) body.builder.hu (1) boldog szülinapot (1) böngészés (1) böngésző (8) bot (1) box (2) branch (1) breki (1) briss (1) brutal doom (1) bsz2 (1) budapest internet exchange (1) bud spencer (1) bug (1) bulitelefon (1) butatelefon (1) c (1) camtasia (1) camtasia 2 (1) camtasia studio (1) cascaded (2) ccd (1) cd (1) cdr (1) cd image (1) cd írás (1) celluar (1) cenzúra (1) change (1) chrome (1) cím (1) cli (1) clicktoflash (1) clicktoplugin (1) client (1) clockworkmod (1) cname (1) code (1) codeblocks (5) code blocks (1) column (1) command (2) command line (3) command not found (1) comment (1) commit (1) compress (1) config (1) consent (1) constantly (1) cookie (1) copyright (1) cpp programming (1) cpu használat (1) cpu usage (1) crack (2) crash (2) cron (3) crontab (4) crt (1) családi képek (1) csapatmunka (1) csatorna (1) csel (1) csökkentés (1) csomagolás (1) css (9) ctrl (1) cue (1) cukiság (1) curl (1) cvf (1) cvzf (1) cyanoganmod (1) c programming (1) c programozás (1) data-wdth (1) date (4) date.timezone (1) dátum (3) dátuma (1) debug (1) debugger (1) dechex (1) del (1) deleted (1) design (1) detect (1) digital (1) digitális analfabéta (2) digitalocean (1) disable (2) disk (3) disk image (1) display (1) div (2) dns (1) doboz (1) domain (1) doom (1) downlink (1) download (1) downloader (1) draw rainbow (1) drive (2) drog (1) drót (1) drugsbunny.hu (1) drugs bunny (2) dunakeszi (1) dvd (1) dvd image (1) dvd írás (1) e-mail (1) eclipse (1) eclipse.app (1) edge (1) editor (2) edzés (1) edzésterv (1) edző válaszol (1) egyedi látogató (1) egyenként (1) egyenlő (1) egyszerű telefon (1) elérhető (1) elfelezés (1) ellenőrizhető (1) ellenőrzés (1) előnézet (1) előnézeti (1) előző (1) eltávolít (1) eltűnő (1) eltűnő fotók (1) eltüntet (1) eltüntetése (1) el capitan (1) el capotan (1) email (2) emailcím (1) energiatakarékos mód (1) enter (1) environment variable (1) equal (1) error (3) errors (1) értesítési terület (1) eu (1) európai unió (1) european union (1) every (1) exe (2) exit (1) exploit (1) explorer.exe (1) export (1) ext (1) ext3 (1) ext4 (1) extract (1) ezen (1) facebook (7) fácse (1) faecbook (1) failed (1) fájl (1) fájlkiterjesztés (1) fájlméret (2) fájlméret csökkentés (1) fájlnév (1) fájlrendszer (2) fájltípus (1) fájl megnyitása (1) fasszomöccse (1) faszbúk (4) faszbuk (1) faszkorbács (1) faszomgecibazmeg (1) fb (2) fb-comments (1) fecskendő (1) feed (3) fehér (1) fejjel lefele (1) fekete-fehér (1) feladatkezelő (2) felbontás (2) felcsatol (2) felcsatolás (1) feldolgozás (1) felezés (1) felhő (1) felhőtárhely (1) felköszöntés (1) feltöltési sebesség (1) felvétel (1) férfi (1) férfihang (1) festék (1) ffmpeg (1) figyelem elterelés (1) figyelmeztetés (1) figyelő (1) file (1) file system (1) filter (1) finder (1) fiók (1) fix (2) flash (1) flash letiltása (1) fluxbox (1) focus (1) foglal (1) folder (2) font (1) force text (1) forgalom (1) forgalomnövelés (1) forgatás (1) form (1) format (1) formázás (2) formázva (1) forró (1) fos (4) fostalicska (2) fotók (1) fps (1) frames (1) francisco (1) free (1) free trial (1) frissül (1) fuckadblock (1) fuckyou brussel (1) függőleges (1) fúj (1) fullhd (1) fuse (1) fuse wait (1) futtatás (1) futtatása (1) futtatható (1) game (1) gameplay (1) gdrive (1) gdrive-linux-i386 (1) geek (2) generálás (2) generátor (1) get (1) gif (1) gimp (1) git (2) gitignore (1) glow (1) gmail (1) göd (1) godaddy (1) gombos (1) google (2) google adsense (1) google drive (2) google photos (1) gphotos (1) gps (2) gradient (1) graph (2) gyakorlatok (1) gyorsindítás (1) gyorsindító (1) gyorstalpaló (1) gz (1) gzip (2) h (1) hack (6) hacker tool (1) hallás (1) hálózat (2) hamisítva (1) hang (3) hangerő (1) hangos (1) hangszóró (1) hangszórókitöltés (1) has (1) használat (1) használata (1) hát (1) háttér (3) háttérben lejátszás (1) háttérkép (2) háttérszín (1) házimozi (1) hd (1) hdd (2) head (1) header (2) height (1) hekker (1) helyes (1) helyesírás (1) helyet (1) hiba (3) hibás (1) hibaüzenet (1) hiperhivatkozás (1) hírcsatorna (1) hirdetés (1) hirdetési (1) history (1) hivatkozás (1) hk (1) hogyan (7) hogyan kell használni (1) hol találom (1) hőmérséklet (1) hosts (1) how (1) how to (2) hozzászólás (2) hp (1) href (1) htaccess (1) html (8) htpasswd (1) http (1) hu (2) icon (1) id (2) ide (1) idegesség (1) idő (1) időpont (1) időzített (2) időzóna (1) ie (1) iframe (1) ikon (1) imac (1) image (2) img (2) imréné (1) in (1) index.php (1) ingyen (7) ingyenes telefon (1) inicializálás (1) injection (2) inkognitó (1) innováció (1) input type text (1) instagram (1) intel (1) internat (1) internet (5) intéző (1) invitel (1) ios (1) ios 10 (1) ios 7 (1) ios 8 (1) ios 9 (1) ip (1) iphone (2) irénke (1) irodai programcsomag (1) iso (3) isten éltessen (1) játékfejlesztés (1) java (1) javascript (7) jel (1) (1) jobbklikk (1) jogszabály (1) jpg (1) jquery (1) js (1) json (1) just (1) jvm (1) kaki (2) kamera (1) kapcsoló (1) káros (1) kék (1) kensington (1) kép (5) képarány (1) képek (1) képernyő (1) képernyő kikapcsolása (1) képfájl (1) képkockákra bontás (1) kérdés törlés előtt (1) keresés (1) keygen (1) kicsi (1) kicsinyítés (1) kicsomagol (1) kicsomagolás (1) kiég a kibaszott szemem (1) kiír (1) kiírás (1) kijelző (1) kikapcsol (4) kikapcsolás (2) kilépés (1) kilépett (1) kilépő (1) kilő (1) kiosztás (1) kisebb (1) kitömörít (1) kitömörítés (1) kivédése (1) kkrcunhy (1) kliens (2) köcsög politikusok (1) kód (2) kolbászparty (1) költözés (1) komment (1) könig (1) konvertálás (2) könyv (1) konzervatív szemlélet (1) környezeti változó (1) köszöntés (1) kötegelt (1) kovács zsolt (1) közelítés (1) közösségi (1) közösségi média (1) központ (1) kulcs (1) külföldön (1) különböző (1) különleges (1) külső (1) kurva idegesítő (1) kvadrofon (1) láb (1) lájk (2) lakat (1) lamp (1) lan (1) laptop (1) last (1) latex (1) latex szerkesztő (1) launcher (1) lefagyott (1) lefoglalás (1) legkisebb (1) legolcsóbb (1) leírás (1) lekér (1) lekérdezése (1) lekérés (1) lekérése (2) lemezkép (2) lemezkezelő (1) lemezterület (1) leopard (5) letiltása (1) letölt (1) letöltés (3) letöltési sebesség (1) letörlődött (1) levelezés (1) levélszemét (1) libre office (1) libsik (1) like (2) line (1) link (4) linkek (1) linklista (1) linux (10) lion (7) list (1) lista (1) live (1) live cd (1) loading (1) location (1) lock (1) log (2) logger (1) logó szavazás (1) lord of the rings (1) lotr (1) m4v (1) mac (21) macbook (7) macbook pro (4) macports (1) magas (1) magasságú (1) magyar (3) magyarország (1) mail (1) mailcím (1) makogás (1) makogó (1) mamp (1) mappa (1) mappák (1) mavericks (5) mdf (3) mds (3) mega-cmd (1) mega.co.nz (1) mega.nz (1) megcserélése (1) megformázza (1) meghajtó (1) megjavítása (1) megkeresése (1) megnézése (1) megnyitás ezzel (1) megoldás (1) megosztás (1) megosztása (1) megosztott mappa (1) megosztott tárhely (1) megsérült (1) megtalálálsa (1) megtekintő (1) mell (1) mélyhang kiemelés (1) mém (1) mem (1) mentem (1) mentés (2) méretezett (1) méret csökkentés (1) merevlemez (1) merge conflict (1) mérő (1) metal (1) meta files (1) migrálás (1) mikrofon (1) minden (1) minden szintre (1) mingw (1) mini (2) minimal (1) minisztérium (1) mms (1) mobilinternet (2) mobilnet (1) mobiltelefon (1) mod (1) mód (1) moddb (1) modified (1) modifier (1) módosítás (1) modulok (1) monitor (2) mono (1) motor (1) mount (4) mountain (3) mountain lion (1) mov (1) movie (1) mp3 (1) mp4 (2) mssql (1) működik (2) működő (1) munka (1) mysql (4) mysqldump (1) mysql real escape string (1) n (1) nagy (1) nagymamatelefon (1) nagyobb (1) name (1) napi (1) naplófájl (1) nélkül (3) nem (5) neon (1) nerd (47) nerd blog (1) net (1) netkapcsolat (1) net use (1) névszerver (1) nincs (1) nincs hang (1) (1) node (1) noob (1) not (1) notebook (1) ns (1) ntfs (1) ntfs3g (1) ocsmány (1) off (1) okostelefon (2) olcsó (2) oldal (5) oldalletöltés (1) oldal felezés (1) olimpia (1) on (1) onion (1) online (2) only (1) opcache (1) opengl (1) openoffice (3) optimalizált (1) ország (1) országkód (1) os (1) összeomlott (1) összes (1) osx (35) osx finder (1) oszlopok (1) ötletes (1) page (1) parancs (1) parancssor (5) parancssoros (1) password (2) pásztázó (1) path (1) pdf (3) pdt (1) példa (1) példakép (1) példánya (1) pendrájv (1) pendrive (1) pentest (1) period (1) perl (1) photos (1) php (14) php.ini (1) phpinfo (1) php development tools (1) picture id (1) pina (1) ping (1) piros pirula (1) player (1) plugin (4) plutonia (1) png (3) port (1) portable document format (1) postmaster (1) posztok (1) power save mód (1) preference (1) preference panel (1) prefs (1) preview (1) privát (1) pro (1) próba (1) processzor (1) profil (1) profile id (1) profilkép (1) program (2) programming (1) programozás (8) programozó (1) protect (1) punci (1) quck fix (1) quick launch (1) quick look (1) quit (1) rainbow (1) rand (1) random (1) rar (2) razzia (1) reaction (1) reakció (1) recovery (1) reduce (1) red pill (1) regcheck (1) regedit (1) régi (2) registry (1) regisztráció (1) régi telefon (1) rejtett fájl (1) reklám (1) reklámblokkoló (1) rekord (1) rel (1) relaunch (1) release (1) reményvesztett (1) rendőrség (1) rendszer (3) rendszerindításkor (1) repair (1) required (1) resolution (1) restart (1) restore windows (1) retardált (2) retina (1) rgb (1) rossz (1) router (1) rss (3) run (1) safari (3) saját (1) sajátgép (1) san (1) sándorné (1) sávszélesség (1) schwarzenegger (1) scitec (1) script (2) scrollozás (1) sdl (1) sd kártya (1) search (1) sebesség (2) second (1) seconds (1) security (1) segédváltozó (1) serial (1) serialization text (1) sérült (1) server (1) setfocus (1) settings (1) shared (1) shared folder (1) shared hosting (1) sheet (2) shell (1) shell script (2) shift (1) shortcut (1) sierra (1) silverlight letiltása (1) site (1) size (1) skin (1) sleep (2) sleepimage (1) small executable (1) smart (1) snow (3) snow leopard (1) social (1) sok (2) sony xperia (1) soundcloud (1) spam (1) spammentes (1) span (1) speed (1) spike (1) split into frames (1) sql (1) ssd (1) statiszika (1) steve jobs (1) stíluslap (5) string (1) stripslashes (1) studio (1) style (2) stylesheet (2) sub (1) sudo (1) súgó (1) support (1) surround (1) süti (1) swapfile (1) szabad (1) számítógép (1) számzáras (1) szar (4) száz (1) százalék (1) szemétdomb (1) színátmenet (1) színes (1) szivárog (1) szivárvány rajzolása (1) szkript (1) szmájli (1) szob (1) szöveg (1) szöveges üzemmód (1) szövegszerkesztő (1) sztring (1) szűrő (2) t-mobile (1) tab (1) tablet (1) találja (1) tálca (1) támogatás (1) tampered (1) tar (2) tárhely (1) tárhelypark (1) társadalomkritika (1) társítás (1) tartalom (1) tartalomjegyzék (1) taskman (1) taskmanager (1) tcc (1) team (1) tecső (1) tekerés (1) telefon (1) telepítés (4) teljes (1) teljesítmény (1) temp (1) térhatás (1) terminal (5) terminator (1) terület (1) test (1) testépítés (1) teszt (2) tesztfotó (1) tesztvideó (1) tetszik (1) tex (1) text (1) texture fix (1) thumbnail (1) time (4) timezone (1) tintapatron (1) tiny c compiler (1) tippegyszerűen (1) titkosítás (1) title (1) to (1) több lap (1) több lap egy oldalon (1) tollmeghajtó (1) tömörítés (4) tömörített fájl (1) toner (1) tool (1) tools (1) tor (2) törlés (2) törlése (1) törlési jóváhagyás (1) töröl (1) törölt (1) torrc (1) totális (1) transparecy (1) tréfa (1) trial (1) tricepsz (1) truecrypt (2) trükk (2) (1) tubulator (1) tubulator2 (1) tubulator 2 (1) túl (2) túlmelegszik (1) turbo boost (1) tüske (1) tutorial (1) TZ (1) ubuntu (3) ubuntu linux (1) új (1) újraindítás (2) újratelepítés (1) újratöltés (1) újratöltő (1) ukelele (1) ultimate doom (1) uninstall (1) unity 3d (1) universal packer for executables (1) univerzális (1) unix (5) unlimited (2) upc (1) uplink (1) uptime (1) upx (1) üres (1) url (3) url fuzzer (1) usa (1) usage (1) usb (1) user.ini (1) utálom (1) utolsó (1) v (1) vác (1) váll (1) változó (1) váratlanul (1) variable (1) vboxsrv (1) védelem (1) védelmi (1) véletlenszerű (1) ventillátor (2) verified (1) version (2) verzió (1) vi (1) video (3) videofájl (1) videoid (1) video downloader (1) view (1) villogtatás (1) vim (1) vimeo (1) vip klub (1) virtual (1) virtualbox (2) visible (1) visszaállítás (1) visszaállítása (1) visual (1) vízszintes (1) volume (1) wad (1) wake (1) ware (1) warning (2) wayteq (1) wayteq xTAB 8Q (1) web (1) webbfejlesztés (1) webcím (1) webdizájn (1) webfejlesztés (2) weboldal (6) weboldal letiltás (1) webszerver (1) western (1) widget (2) windows (9) windowsos (1) windows 10 (2) windows 7 (2) windows 8 (2) windows explorer (1) windows intéző (1) windows vista (1) windows xp (2) wine (1) working (1) wrong (1) wxsmith (1) x (1) x-tab (1) x-windows (1) xcode (2) xcode3 (1) xcode4 (1) xlc (1) xorg (1) xp (1) xperia u (1) xtab (1) xvf (1) xvzf (1) yosemite (4) youtube (7) youtube downloader (1) youtube red (1) zár (1) zenelejátszó (1) zh (1) zip (2) zoom (2) zte (1) © (1) Címkefelhő

Statisztika

NOOBok írták a magyar olimpiai bizottság szavazós oldalát.

2016.04.12. 17:11 numlockholmes

http://logopalyazat.budapest2024.org/ címen lehet szavazni a 2024-es budapesti olimpia logópályázatára beküldött logótervekre. A fődíj 1'000'000 Ft. Madafaking 1 millió forint. Ennek már van tétje nemde? Mivel állami szervről van szó, ezért a weblapot is gondolom több száz millióbol rakták össze, ahogy szokás ilyenkor. Persze valami "szomszédpistike" kaphatta a megrendelést, mert olyan blődségeket követett el a weboldal készítésekor, hogy a szavazás leadásakor 0, ismétlem nulla azonosítás szükséges a szavazat leadásához.

screenshot_2016-04-12_20_22_39.jpg

Ha rányomunk a "szavazat leadása" gombra, akkor egy POST kérelmet küld a böngésző a szervernek és egy sütit rak le az oldal, ami megakadályozza a további szavazást. Ééééééérted? Egymillió forint múlik ezen és annyi védelem van beépítve az oldalba, hogy lerak egy sütit, hogy ne tudjál újra szavazni.

  • Ha esetleg neked be van állítva a böngésződben, hogy ne fogadjon sütiket, akkor igazából korlátlan számszor tudsz szavazni ha szavazat leadása után frissíted az oldalt. 
  • Ha belépsz inkognyitó módba és kilépsz akkor korlátlan szavavazatot adhatsz le.

Szóval, ha te egy élelmes grafikus vagy aki szeretne egymillát szerezni, akkor nincs más teendőd, mint kikacsolod a cookie-kat a böngésződben kb (3 klikk) Ezután pedig azt ismételgeted, hogy rányomsz a frissítés gombra, majd a szavazés gombra sokszor. Ha gyors a neted, akkor ez a kétlépéses tevékenység kb 3 másodpercet vesz el az életedből. Egy nap alatt így emberi erővel 30'000 szavazatot is le tudsz adni a saját művedre.

Teszteljük a dolgot egy scripttel

Nézzük egy próbát, itt van ez a kevésbé szép logó, ami jelenleg a 137. helyen áll.  Egy ismeretlen személy elvégzett egy egyszerű tesztet egy saját maga által írt scripttel és elküldte nekem a képeket   köszi Mr Nobody, érdekes.

  •  fogta a szavazat elküldő kódsort a weboldal forráskódjából és belerakta egy ciklusba és hagyta pár percet futni. Minden ciklus esetén várt fél másodpercet.

screenshot_2016-04-12_20_24_52.jpg

A forráskód részlet, amit az ismeretlen emberke belerakott egy ciklusba, látszik, hogy semmi védelmi intézkedés. Elmondása szerint át kellett írnia pár változót, de én erről nem tudok.

screenshot_2016-04-12_20_11_22.jpg

 

Hagyta futni pár percet. Eredmény 120 hellyel előrébb csúszott a logó. 

screenshot_2016-04-12_20_30_35.jpg

Csak hogy tisztázzuk a dolgokat:

  • Az script által elvégzett műveletsor ekvivalens azzal, hogy kikapcsolod a sütiket a böngészőben és ismételten frissítesz és szavazol. Webfejlesztős FB csoportokban azt rebesgetik, hogy így versenyzik egymással épp a top 5 grafikus :) Bár mit csodálkozunk olyan világban amikor versenyeket lehet nyerni "Lájkokkal", amikor az dönti el az eredményt, hogy kinek van több ismerőse?
  • Semmilyen biztonsági intézkedést nem kellett kijátszania annak aki küldte nekem ezt az érdekességet, (tehát §423 -mal sehogy nem ütközik) mivel nem volt biztonsági intézkedés és a böngészőt is rendeltetésszerűen használta. Sőt nagyon sok felhasználó alapból kikapcsolva tartja a sütiket a böngészőjében így ha valakinek sok ideje van (például egy mezei nagymamának) nyers erővel is termérdek mennyiségű szavazatot lehet leadni, akár a 80 éves terézke és összekattingathatta volna a a dolgokat - csak épp ezt egy script végezte.
  • Beszarás, hogy egy nagy valószínűséggel többszáz milliós weblap fejlesztése során ilyet hibát követnek el.

Update 0: Most nézem, ők hamarabb megtalálták a sebezhetőséget, itt PHP kódot közölnek

Update 1: Az indexre is eljutott a hír

Nyomj egy tetsziket, ha hasznos volt a bejegyzés:

Kikapcsolódásképpen pedig látogasd meg a Mindennapi kockaságok blogot!

1 komment

Címkék: hack php olimpia crack js noob logó szavazás

A bejegyzés trackback címe:

https://nerd.blog.hu/api/trackback/id/tr398597666

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

sayitsayit 2016.04.13. 17:09:27

std

és akkor ez még nem is egy annyira biztonságkritikus hiba volt, hiszen már mindenki tudja mennyire relevánsak ezek a netesszavazások (kb mint az eurovíziós dalfesztivál, így kisbetűvel, ez meg így egybeírva, mert enyém az alkotói szabadság)

sőt, elég hamar előbukkanó hibának is mondható, szóval aki nem értené : "KI TUDJA MENNYI LEHET MÉG BENNE". igazi mszórakoztató mintadarab lehet unatkozó, és épp valami butító autizmust serkentő feladatra vágyó hackereknek, kb mint megfogni egy buborékfóliát, és durrogtatni kicsit, ha már szobanövény szinten érzed magad agyilag