Duegieditrice.it
https://www.forum-duegieditrice.com/

anche con il nuovo forum accesso ai disgraziati??
https://www.forum-duegieditrice.com/viewtopic.php?f=20&t=38199		 Pagina 1 di 1
Autore:  gmg20 [ venerdì 18 settembre 2009, 10:12 ]
Oggetto del messaggio:  anche con il nuovo forum accesso ai disgraziati??
Benetto(O Carletto è indifferente)come è possibile che la stessa persona(dico la stessa
perchè i messaggi sono identici)si registri due o piu' volte>czxxz6467 + rsgoldrsgolds
pastrocchiando sai sette post in discussioni diverse?
Non cè un controllo IP? tra l' altro è lavoro aggiuntivo per voi due dover pulire+ bannare
gli utenti ecc ecc;questo qui' si è iscritto da poco, utenti 2806 + 2819 a poco tempo
uno dall altro,trovare il modo di fare il tutto a macchina dovrebbe essere possibile
vi lascerebbe del tempo per cose utili(e magare dirimere le borsettate con piu' calma
senza dover togliere tutto anche quello sopportabile per mancanza di tempo :wink: ).
Autore:  gmg20 [ venerdì 18 settembre 2009, 10:33 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
PORC anche sad454485#@## e credo anche shg8283014#@## + asd688612$#$ +
ass26305#@## anche se non hanno ancora mandato messaggi :evil: :evil:
Autore:  tobruk [ venerdì 18 settembre 2009, 11:22 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
non sono delle persone... :roll:
Autore:  licio [ venerdì 18 settembre 2009, 16:13 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
l'invasione degli ultracorpi ... :?
Autore:  gmg20 [ venerdì 18 settembre 2009, 17:56 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
OK mettimo pure che sia una macchina ragione di piu' per contrapporre un altra macchina.
PS ne nascono ancora un po' ogni mezz ora o giu' di li' ultracorpi :lol: puah :evil:
Autore:  marco_58 [ venerdì 18 settembre 2009, 18:35 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
gmg20 ha scritto:
OK mettimo pure che sia una macchina ragione di piu' per contrapporre un altra macchina.
PS ne nascono ancora un po' ogni mezz ora o giu' di li' ultracorpi :lol: puah :evil:


Pensa ... potrebbe essere una macchina che si appoggia al tuo PC per entrare nel forum. :roll: :roll: :roll:
Ed è magari proprio il tuo sistema di difesa che gli dà una mano. :( :(
:lol: :lol: :lol: :lol:

Saluti
Marco Fornaciari


P.s. Non chiedete come fa ... perchè non svelo i segreti del mestiere (quelli di pulcinella) :mrgreen: :mrgreen:
Autore:  saint [ venerdì 18 settembre 2009, 22:42 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
phpBB e` famoso per la robustezza....

Peraltro non e` da escludere l'uso di schiavetti....
Autore:  dani [ venerdì 18 settembre 2009, 23:25 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
saint ha scritto:
phpBB e` famoso per la robustezza....


Sei ironico spero :D

phpBB2 (con il tre va decisamente meglio) è un colabrodo... fino ad una certa versione era perfino possibile bypassare tutti i controlli di registrazione (captcha e amici) perché generava le sessioni utilizzando come controllo sempre lo stesso token che era hardcoded nello script e passato via GET... (o una roba simile, mandai un patch a Benedetto in proposito, parlo di qualche annetto fa), roba da essere rimandati all'ECDL...

Per non parlare poi delle sql injection con tanto di famoso script per... rompere i maroni ai sys admin.
Autore:  tobruk [ venerdì 18 settembre 2009, 23:28 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
dani ha scritto:
generava le sessioni utilizzando come controllo sempre lo stesso token che era hardcoded nello script e passato via GET...


:roll: :roll: :roll:
Autore:  dani [ venerdì 18 settembre 2009, 23:43 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
Ecco, uno dei casi nella ver. 2 è il parametro GET agreed=true... con questo parametro era (è?) possibile bypassare captcha nella registrazione.

La soluzione era banale, si trattava di cambiare il nome della variabile, meglio se un hash, e il problema era risolto visto che i bot non sono intelligenti, ma usano pattern pre-inseriti.
Autore:  saint [ sabato 19 settembre 2009, 7:45 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
tobruk ha scritto:
dani ha scritto:
generava le sessioni utilizzando come controllo sempre lo stesso token che era hardcoded nello script e passato via GET...


:roll: :roll: :roll:


Per chi non comprende il post di dani:

Quando un browser contatta un web server puo` chiedere una pagina (fa una GET) o inviare dei dati - come accade quando si pubblica qualcosa sul forum - ed in questo caso fa una POST.

In ambedue i casi l'URL, oltre all'indirizzo della risorsa richiesta - usualmente un qualcosa che il server genera al volo eseguendo un qualche eseguibile, puo` contenere anche parametri, indicati dopo il punto di domanda come coppie nome=valore separate da e commerciale. Proprio come in questo esempio (l'URL con cui pubblichero` questo messaggio):

posting.php?mode=quote&f=20&p=337423

posting.php e` l'eseguibile, i parametri sono mode - chiaramente indica che tipo di messaggio e`, in questo caso citazione - f, p e sid -non ho indagato a fondo che cosa fanno perche` non mi interessa guardarmi i sorgenti...

Questi parametri possono essere alterati anche sovrascrivendoli nella barra degli indirizzi.

Se uno e` mona e passa in questo modo i risultati di un controllo, chiunque puo` falsificare tale esito come dice appunto dani:

Cita:
Ecco, uno dei casi nella ver. 2 è il parametro GET agreed=true... con questo parametro era (è?) possibile bypassare captcha nella registrazione.


ovvero, anche se non scrivo correttamente il codice casuale di controllo (perche` sono un programmino semplice senza riconoscimento del testo nelle immagini) posso ingannare il software del forum ed iscrivermi...

Utile per tutti: il sito di trenitalia mostra i risultati della ricerca dei treni con una pagina in cui il numero di treni visualizzati e` passato col parametro
Codice:
nreq=5
. Aumentate il 5 per avere piu` treni visualizzati, come nell'esempio:

http://orario.trenitalia.com/b2c/nppPriceTravelSolutions.do?car=0&stazin=padova&stazout=cittadella&datag=19&datam=09&dataa=2009&timsh=07&stazin_r=Staz_DA&stazout_r=Staz_A&timsm=17&timsm_r=17&lang=it&nreq=15&channel=tcom&npag=1&lang_r=it&nreq_r=5&channel_r=tcom&npag_r=1&x=4&y=14

(basta modificare il primo parametro...)

Quanto alla sql injection di cui parla dani, si tratta di sovvertire il funzionamento di un accesso al database dell'applicazione andando a codificare uno dei parametri passati al server in modo opportuno. Funziona quando l'accesso al database e` stato programmato in modo 'ingenuo' senza controllare gli input...

Immagine
Autore:  LDe500 [ domenica 20 settembre 2009, 10:06 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
Saranno sicuramente dei programmi automatici come quelli che ci incasinano le e-mail, io utilizzo un programma ovvero uno script per parlare on line con degli amici e c'è la possibilità di impostare l'ip dinamico ovvero ogni volta che mi connetto cambia, per cui da una parte evito attacchi scellerati dall'altra non puoi mettermi un ban definitivo, penso quindi che una cosa simili stia succedendo qui.
Autore:  saint [ domenica 20 settembre 2009, 18:23 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
Che l'IP pubblico statico o dinamico non dipende tanto da una scelta quanto dalla caratteristca del collegamento richiesta al provider. Gli IP pubblici statici non sono merce comunissima e di solito sono una manciata o addirittura uno solo in quanto sono "merce rara".

Attenzione che gli indirizzi 10.x.x.x, 17.y.x.x, 192.168.x.x (y dovrebbe variare da 16 a 31 ma non ne son certo) non sono pubblici...
Autore:  carletto [ domenica 20 settembre 2009, 20:21 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
il bello è che 'ste pantegane scrivono 5 post in tutto poi cambiano... e ogni volta tocca inseguirli per 5 minuti e poi via... ah ad avere la possibilità di cancellare tutto in un colpo invece che uno a uno...
Autore:  gmg20 [ lunedì 21 settembre 2009, 10:56 ]
Oggetto del messaggio:  Re: anche con il nuovo forum accesso ai disgraziati??
Coraggio carletto questa pantegana insiste, deve essere davvero una macchina
ti ha fatto ancora nuove iscrizioni e apre discussioni nuove :roll: pero' la giustizia
esiste, il server a cui fanno capo tutti i link immessi ha SEGATO TUTTO :lol: :lol:
potresti risparmiare la fatica aumenta solo il posto nel vostro host ma i link sono
dsifatto morti :mrgreen: :mrgreen:
Pagina 1 di 1 Tutti gli orari sono UTC + 1 ora [ ora legale ]

Duegi Editrice - Viale Francia, 7, 35020 Ponte S. Nicolò (PD). Italy - Tel. 049.711.363 - Fax 049.862.60.77 - duegi@duegieditrice.it - shop@duegieditrice.it
Direttori di testata: Gianfranco Berto - Franco Tanel. Registro Operatori della Comunicazione n° 1199. Partita iva IT 01116210293 Tutti i diritti riservati Duegi Editrice