Per altri test a cui ho fatto riferimento dovrete attendere :D

Nel frattempo, mi dite la parola chiave presente in questa pagina?
Fatemi un copia e incolla di tutto cio' che trovate. :)

http://www.stealthmeasures.com/javascripttest.aspx

Come vedete l'estensione e' aspx, cioe' si tratta di una pagina dinamica (in realta' non lo e', ma non posso svelare tutta la roba :)). Su questo giochetto si basa cio' che -con buona fortuna- vedrete.

Nel mio caso sto usando un mio spazio, quindi non ho dovuto entrare in altrui siti, ma pensate a quanti siti - come sapete benissimo - sono protetti male (purtroppo :(); iniettare pagine con estensione diversa che facciano "qualcosa" e poi riportino in modo trasparente alla pagina attesa (quella originale) immediatamente, senza che l'utente se ne accorga. Oppure (per evitare la protezione da redirezione, es. di Opera) un malintenzionato che abbia guadagnato accesso ad un sito, potrebbe rinominare la pagina originale (esempio default.asp->_default.asp) e sostituirla con quella "maligna" che faccia qualcosa (sfruttando del javascript nascosto in questo modo e tentando exploits ecc ecc - le applicazioni sono potenzialmente numerose) per poi visualizzare (con XmlHttpRequest) all'utente la pagina attesa, magari modificata pure per farsi spedire dati di login ecc.ecc.
Le applicazioni, ripeto, possono essere tante e credo che una "suite" di sicurezza e in primis il browser non possano rilevare purtroppo questi comportamenti con le tecnologie client/server attuali.

Ma quanti 3D apri ? :rolleyes: :doh:

Ma quanti 3D apri ? :rolleyes: :doh:

sampei, questo commento te lo potevi risparmiare. e' proprio di questi commenti di cui parlavo nell'altro thread. mah

Per altri test a cui ho fatto riferimento dovrete attendere :D

Nel frattempo, mi dite la parola chiave presente in questa pagina?
Fatemi un copia e incolla di tutto cio' che trovate. :)

http://www.stealthmeasures.com/javascripttest.aspx

Come vedete l'estensione e' aspx, cioe' si tratta di una pagina dinamica (in realta' non lo e', ma non posso svelare tutta la roba :)). Su questo giochetto si basa cio' che -con buona fortuna- vedrete.

Nel mio caso sto usando un mio spazio, quindi non ho dovuto entrare in altrui siti, ma pensate a quanti siti - come sapete benissimo - sono protetti male (purtroppo :(); iniettare pagine con estensione diversa che facciano "qualcosa" e poi riportino in modo trasparente alla pagina attesa (quella originale) immediatamente, senza che l'utente se ne accorga. Oppure (per evitare la protezione da redirezione, es. di Opera) un malintenzionato che abbia guadagnato accesso ad un sito, potrebbe rinominare la pagina originale (esempio default.asp->_default.asp) e sostituirla con quella "maligna" che faccia qualcosa (sfruttando del javascript nascosto in questo modo e tentando exploits ecc ecc - le applicazioni sono potenzialmente numerose) per poi visualizzare (con XmlHttpRequest) all'utente la pagina attesa, magari modificata pure per farsi spedire dati di login ecc.ecc.
Le applicazioni, ripeto, possono essere tante e credo che una "suite" di sicurezza e in primis il browser non possano rilevare purtroppo questi comportamenti con le tecnologie client/server attuali.



ecco cosa mi ha dato:

Yet another test powered by Sisupoika - Greetings to all Hardware Upgrade Forum members :)

le conseguenze??:fagiano:

Fin qui giungerai, e non oltre. Saluti da Sisupoika ;)

:fuck: :fuck:

Fin qui giungerai, e non oltre. Saluti da Sisupoika ;)

:fuck: :fuck:

Beh? ti arrendi gia'? I "livelli" sono tre, e questo non e' neanche il primo. :D
Le parole chiave sono stringhe alfanumeriche, e dovete incollare anche la sorgente del javascript.

Dimenticavo, con questi sistemi anche l'offuscamento (comunque aggirabile sempre e comunque), non serve.

bho oggi non è che ho molta voglia di giocare, comunque non so come risolverlo anche perchè non si è capito molto a cosa si deve arrivare, ciao

bho oggi non è che ho molta voglia di giocare, comunque non so come risolverlo anche perchè non si è capito molto a cosa si deve arrivare, ciao

Come vedi compare un alert, quindi c'e' del codice javascript nel file esterno che devi svelare, oltre alla prima "parola chiave". Cmq anche io ho da lavorare adesso :D

Yet another test powered by Sisupoika - Greetings to all Hardware Upgrade Forum members :)
sono grave?:fagiano:

mmm si preannuncia una notte quasi-lunga :D (purtroppo non potrò tirare l'alba)

ok, fino a qui ci siamo:

window.onload = function() {
alert('Terveisia kaikille Sisupoikalta! :D')
}
// primo codice: nln3das943mladsna9camm4nm43

E' + di un'ora che ci batto la testa e non ho ancora capito che altro devo fare :D

Non ho capito se ci son altri 2 codici o meno :)

Il dubbio è: la pagina con lo script (j3nds...) non è dinamica??? Non è il server a mandarmi una cosa diversa a seconda della richiesta?? Com'è possibile?

(altre domande un "pochino" + malate sono: l'argomento è un md5? Di cosa? data? chiave? numero random?)

Per stas mollo, a domani :)

E' + di un'ora che ci batto la testa e non ho ancora capito che altro devo fare :D

Non ho capito se ci son altri 2 codici o meno :)

Il dubbio è: la pagina con lo script (j3nds...) non è dinamica??? Non è il server a mandarmi una cosa diversa a seconda della richiesta?? Com'è possibile?

(altre domande un "pochino" + malate sono: l'argomento è un md5? Di cosa? data? chiave? numero random?)

Per stas mollo, a domani :)

Bravo WS :D
Gia' questo NON e' a prova di tutti, ma e' quanto mi sarei aspettato senza grosse sorprese da alcuni di voi.
Il secondo e' gia' su un altro piano, e (non fraintendete) mi stupirei se qualcuno lo trovasse, vorrebbe dire che l'ho sottovalutato o sopravvalutato il mio sistema :stordita:
Il terzo, sfrutta un "forse bug" nella gestione dei CSS che ho trovato in questi giorni; se riesco a confermare che si tratta di un bug (comune a IE, Opera, FF) lo segnalero' agli sviluppatori di browser e w3c. Per questa ragione, sinceramente non mi aspetto che lo troviate facilmente, tranne se qui c'e' qualcuno con le contro palle :D

Dovresti trovare da te il passo successivo.. :D
Cmq, ti do' solo un aiutino.
Devi adesso trovare due inclusioni "nascoste", una con javascript (diciamo "secondo" livello, gia' molto difficile) e l'altra con css ("terzo livello", estremamente difficile - almeno per le mie conoscenze; io stesso, con i metodi e tool che conosco, ci impiegherei giorni se venisse fatto da altri).

La prima inclusione aggiunge dinamicamente un iframe invisibile al DOM della pagina, dopo l'onload della stessa.
Devi trovare la paginetta che viene caricata nell'iframe, farti due risate per la frase e l'immagine, e incollare qui il secondo codice scritto assieme al link della pagina. :D
Con questo sistema l'inclusione nascosta mi permette di modificare il DOM, ma non altre azioni javascript (almeno non ci sono riuscito, per ora).

La seconda inclusione e' un fake CSS che riporta come nomi di classi alcuni dati sul tuo browser, piu' il terzo codice (che per motivi che non sto a spiegare e' di soli 5 caratteri). Bisogna trovare ed incollare quelle informazioni e il codice. Se funziona col vostro sistema, avrete...una macabra sorpresa. :)


ps: per le domande che mi hai fatto: parte della soluzione del secondo sta nel capire a cosa serve quella scritta dinamica, che sembra soltanto un parametro random, ma e' ben piu'. :D

Buona notte.

bhe ora so che c'è altro da fare :)
Avevo qualche dubbio (soprattutto sull'utilità dell'id nel body e sull'argomento che sembra random) ma una cosa è un dubbio e un'altra la certezza che c'è sotto qualcosa... son proprio curioso di capire come azz funziona :)
Oggi, con calma, ci lavoro e vedremo cosa riesco a capire :)

ehm... c'è qualcosa che non mi torna, sniffando la connessione (ieri non ci avevo pensato :doh: ) non c'è altro, quindi non stiamo parlando di cosa avviene cliccando su quel link, l'inclusione normalmente non mi viene proprio inviata quindi immagino debba fare un'altra richiesta :muro: :)

ehm... c'è qualcosa che non mi torna, sniffando la connessione (ieri non ci avevo pensato :doh: ) non c'è altro, quindi non stiamo parlando di cosa avviene cliccando su quel link, l'inclusione normalmente non mi viene proprio inviata quindi immagino debba fare un'altra richiesta :muro: :)

porca vac. mi stai stupendo :D
se hai gia' provato col sniffing allora forse forse sei vicino a capire :D
cio' che mi fa ridere e' la parte in grassetto :sbonk:

ok, fino a qui ci siamo:

window.onload = function() {
alert('Terveisia kaikille Sisupoikalta! :D')
}
// primo codice: nln3das943mladsna9camm4nm43


Avevo dimenticato di chiedere, ci sono tre modi per trovare questo. Quale hai usato tu? Non scriverlo qui cmq ma in privato, altrimenti rovini il gioco ad altri :D

Cmq avevo pure pensato di rinforzare il primo livello mettendo gia' li' (e questo e' un altro aiutino :D) compressione zip + base64 di un algoritmo mio (quindi non facile da decifrare), ma poi mi sono detto "dai, forse e' troppo" :sbonk:

a proposito di sniffing (e anche della prima parte), se non ho messo le tre parti in https e' solo per lazyness nel comprare apposta un certificato per quel dominio :sbonk:

mezzo casino coi quote :D

idem come sopra :stordita: