スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
   
  1. --/--/--(--) --:--:--|
  2. スポンサー広告

垢ハック

新しいログイン方法になって、垢ハックの危険性が高くなったんだぜ・・
ちなみに癌側の手抜き作業のおかげで色々危険な事が出来るURLに改造出来るみたい・、。
ちなみに昨日何故かログインのURL変わってた・・



   
垢ハックのことは、ASのログインに関してかな

名前:前スレ142[sage] 投稿日:08/10/08(水) 14:58 ID:oY94WepQ0
URLフィッシングの詳細

ttps://member.gungho.jp/front/guest/login.aspx?ReturnUrl=%2ffront%2fmember%2fwebgs%2frocenter.aspx
↑これが正しいログインURLね。
ReturnUrl で指定してあるのは、癌公式内の、相対パス。
つまり、ログイン成功したら、この場所にとべよ、ってことを指定してある。
これを、下のように変えてみる。

ttps://member.gungho.jp/front/guest/login.aspx?ReturnUrl=http:%2f%2fmixi.jp

ターゲットURLを「ttp://mixi.jp」にしておいた。
上のURLをクリックすると、ログイン画面→セキュリティパス認証画面と続いて、
ログイン完了後に、指定した外部URL「ttp://mixi.jp」にジャンプしてしまう。

IE7だとログイン前はmixiには飛ばないけど、ログイン後に踏むと飛ぶ。このへんはブラウザで挙動が違うらしい。

ここまで書いてあるとあとは何が起きるか・・解るな・・?

名前:前スレ142[sage] 投稿日:08/10/08(水) 14:59 ID:oY94WepQ0
これでなにができるか。

1番目。 シンプルに、外部サイトはいままでどおりの垢ハックサイトにすれば、垢ハック完了。
ただ、ログイン方法が今回変わったわけで、今までどおりの垢ハックが有効かどうかは知らない。

まあ、そんなことじゃちっとも安心できないけど。

2番目。ちょっと手が込んでる。
今回は飛び先がmixiだから、なんかおかしいとバレバレだけど、
このとび先が癌公式のログイン・ログアウト画面あたりにそっくりなものだったらどうだろうか。
「あれ、間違えてログアウトしたかな」と思って、よほど注意深くない限り、もう1回ログインしようとしないだろうか。
癌公式そっくりの偽サイトのページをそのままクリックしていって、ログインしようとする。
すると、そのIDパスワードを偽サイトがGet。
すぐさまメールでサイト作成者に伝えられ、ガンホーIDレベルで垢ハック完了。


正しい挙動は「ReturnUrlの引数に外部サイトを指示されても、無視しなければならない」ということ。
ログイン前のIE7ではそれができてるんだから、単にそれを全部に適用するだけで、別に難しいことではないはず。

参考URL:
ttp://en.yummy.stripper.jp/?eid=987602
ttp://takagi-hiromitsu.jp/diary/20070512.html

888 名前:(○口○*)さん[sage] 投稿日:08/10/08(水) 21:01 ID:MgAJU8Jd0
フィッシング詐欺はそれなりに知名度が上がる程度には蔓延してるわけで、
そういう事例を見れば引っ掛ける手口についても知ることができるだろう…
誰も引っ掛からないような手法なら、手口としてそんなに知名度は上がらないし。



889 名前:(○口○*)さん[sage] 投稿日:08/10/08(水) 21:36 ID:L3DRyVpk0
使える場面なんてそりゃ結構あるだろ
例えば、にゅかんの様なBBSに、こんなのを書く

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
罠倍加の修正情報ktkr
罠厨涙目wwwwwwwwwwwwwwwwwww

ソース(Webヘルプデスク)
ttps://member.gungho.jp/front/guest/login.aspx?ReturnUrl=http:%2f%2fgoogle.jp
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

これだけでも、釣られるヤツは大勢居そうだな。
※ 実際書く場合は頭のhを入れる方が良いかな。釣れやすいから。
※ 罠師には悪いけど釣られやすそうなネタって事で勘弁。こんなんしか思いつかんかった。


896 名前:(○口○*)さん[sage] 投稿日:08/10/08(水) 22:29 ID:N/nS8TBA0
別の脆弱性を見つけたのでIPAに報告してきた。

>IPA セキュリティセンターです。
>脆弱性関連情報を届出いただき、ありがとうございました。
>
>届出いただいた内容を確認し、取扱い対象かどうかを検討いたします。
>追って、受理もしくは不受理を連絡いたしますので、お待ちください。
>
>本件に関するメールでの連絡につきましては、IPA#********* をメールの
>件名に記載し、ご連絡ください。
>
>なお、本件の取扱いが終了するまでの間、関連情報を第三者に開示しな
>いようお願いいたします。これは、下記に示す告示の『発見者基準』お
>よび、ガイドラインの『発見者の対応』に基づくものです。第三者への
>開示を希望される場合は、あらかじめ IPA セキュリティセンターまで
>お問い合わせください。

と言うことで報告は出来ないが、基本的すぎてあきれた。
まさか、携帯でパスワード発行するソースを書いてたら発見するとはね。


899 名前:(○口○*)さん[sage] 投稿日:08/10/08(水) 23:08 ID:L3DRyVpk0
前は、GunghoIDでログインしても今のアトラクションID用パスワードがわからなければ
アトラクションID用パスワードの変更も出来ないし、RO起動も出来なかったと思う。
それが今は出来る。

追加で生年月日認証が入ってるからメアド見てキャラ削除とかは出来ないし
キャラパスがあるから全部が全部のアイテム等を取られるワケじゃないけどな。



917 名前:(○口○*)さん[sage] 投稿日:08/10/09(木) 07:59 ID:RACi92p30
>>899
ところが。

癌ログイン→嘘ページでログインさせる(垢+PASSゲット)→次の画面で

 ○月○日よりセキュリティが強化されました。
 起動画面に遷移するため、登録メアドを入力してください。


とかそれっぽい画面表示されたらアウト。
気づいていなければ入れちゃう人もいるでしょう。
あとはキャラ削除ルートでEnd。

さらに、上記の次に

 登録メアドが違います。再度入力するか
 登録生年月日を入力してください。

とか表示されたら、いくらでも抜かれ放題。


・・・どんだけ穴だらけなんだよwwwwwwwww
まあはじめた当初頃に垢ハックは一回されたけど皆気をつけようね・、。
URLは最後までよくみようっていうか踏まないように! まあもう修正されたらしいけど。
ブログとかmixiにたまーにはられるURLもあぶないよ><
ここからは今日の出来事。



溜まり場に・・がいた。
ので、チーズと生体に・x・ ぱんつも誘おうぜって事でメールしたらバイト中・、。
まあいそいそと帰ってきてくれた!!
-.jpg


そして生体に!! 最近生体ばっかなきがしてたけど、一番多いのはおでんだって気がついた。
AX*2だと色々避けてくれてたすかる!! スティールもある!!
油断とあsm切れで死ぬのはよくある!!
1_20081010074045.jpg


その後MVPがセシルだったから食いたいって事に!!
セシルドロップうまー! しかも飛ばないうまーーーーーーー
そんなわけでHwiz探してたら偵察にきてた・、。 
人集めるまでに時間かかったみたいだけど、こっちも人居なかったp_q
3_20081010074328.jpg


そんで火力がSbrだけっぽかったから、FAこっちだし行けそうだね!!とか盛り上がってた。
一応予備でチンスコ配置したんだけど、対抗にADSが\(^o^)/
まあ全然勝てる訳がないっていうね。 まあうろうろしてたらこんな事云われたり・、。
2_20081010074159.jpg


何か用?とか・・こwwwわwwwwwwwwいwwwwwwwwwwwwwww
天界怖いよ・、。 まあ幸運にもMPKとかされたりしなかったので良かった
まあドロップ紫だけだったし、まあいいやって事で・・
これでコンバとか出てたら顔真っ赤になってた、勝てないけど顔真っ赤うはおk
その後クトルラに・x・ ドロップはゴミだった。 もう神の使者は・・
無題



その次におじさん放置だったから行く事に!!
ちなみにドロップはゴミだったのと倒すまでのgdgd+消耗品で皆ぐったり・、。
ぱんつは何回EDPを・・ p_q
5_20081010074621.jpg


それと最後にとある人の資産を。
6_20081010074638.jpg


はぁしにたい
スポンサーサイト
  1. 2008/10/10(金) 08:04:18|
  2. RO
  3. | Track Back:0
  4. | Comment:9
<<今日はGv!! | Home | まったり+下品なおれらwwwwwwwww>>

Comment

なんかハックのやつ見入っててあみかのブログ見てるって事をすっかりわすれてた・・・

なんか豚とか書いてあってびっくりした。

このサイトは急に何を・・・・ああwwwwww豚ねwwwwwwwwwwww豚ちゃんねwwwwwwwwwwwwwwwwwww

やれやれまた俺は生体に行きそこなったという訳か・・・


てかそれ誰の財布だよwwwwwwwww俺も・・・俺もそんな・・・・・・




MHPになりたい。
  1. 2008/10/10(金) 11:49:56 |
  2. URL |
  3. 諒 #HUlXcZSA
  4. [ Edit]

くそふいたwwwwwwwww
ちょっと真剣にハックのこと・・考えたんだよ・・!!
豚wwwwww豚ちゃんwwwwww
昨日はデスペナばっかだからきっと今頃落ち込んでるぜ。
誰の財布っておま・・きまってんだろ・・
MHPですね、わかりません。
  1. 2008/10/10(金) 23:54:22 |
  2. URL |
  3. xxDAHLIAxx #-
  4. [ Edit]

巧妙なハックこえーな!
気つけんと・・・

豚wwwwwwwwwwwww
はあ誰だよ豚ってwwwwwwwwwww
自分ですねわかります
デスペナなんてもう気にならない位育てるのAXしんどい_| ̄|○ il||li
  1. 2008/10/11(土) 00:50:24 |
  2. URL |
  3. あかりん #-
  4. [ Edit]

本当気をつけなね・・
皆が豚豚って云うから・・リアルでもそう呼ばないか心配だよ・・
うちも2nd育てるのしんどい。 もう正直あんまやってないwwwwwww
  1. 2008/10/11(土) 01:26:51 |
  2. URL |
  3. xxDAHLIAxx #-
  4. [ Edit]

皆がパンツパンツって云うから…リアルでもそう呼ばないか心配だったよ…



皆はおろか浩、諒ママ、あみかママにさえ呼ばれた始末。

っていうか豚っていうとメンヘラ豚のほうが浮かんで(ry
  1. 2008/10/11(土) 06:15:40 |
  2. URL |
  3. ★ #yGuq9GWw
  4. [ Edit]

心配って・・今じゃ立派な愛称じゃないか・・。
お め で と う !
確かに豚=メンヘラだよねwwwwwwwwwww
  1. 2008/10/11(土) 23:24:05 |
  2. URL |
  3. xxDAHLIAxx #-
  4. [ Edit]

まじかよwwwwww
こんなめんどいログイン方法になってこのザマか!
くそめ!しんでしまえ!

まあにしても ぱんつとか豚とかチーズとかここはスーパーかよみたいな・・
  1. 2008/10/12(日) 02:25:31 |
  2. URL |
  3. くさっ #-
  4. [ Edit]

階段もあるしね!
  1. 2008/10/12(日) 03:06:55 |
  2. URL |
  3. 諒 #HUlXcZSA
  4. [ Edit]

チーズwwwwwwwwwwwwwwwww
くさっ とかふいたwwwwwwwwwww
ていうかスーパーwwwwwwwww
階段もありますね・・。 さすがですよね。
はやくちーずまるのみなごろしが・・

階段wwwwwwwwwwwwwwwwww
うぇーーーーーwwwwwwwwっうぃーーーーwwww
  1. 2008/10/12(日) 05:51:34 |
  2. URL |
  3. xxDAHLIAxx #-
  4. [ Edit]

▼ 下品な言葉はFC2側でスパムコメントとして処理されるので反映しません ▼


It displays it only to the xxDAHLIAxx

Track Back

Trackback URL
http://xxamikaxx.blog116.fc2.com/tb.php/73-e6855bb9
On Track Back

Counter

Search

Calender

04 | 2017/05 | 06
- 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 - - -

Profile

xxDAHLIAxx

Author:xxDAHLIAxx
Server : Iris
Guild : マゾヒスト連合













【Link Banner】
RO・攻略ブログ


© Gravity Co., Ltd. & LeeMyoungJin(studio DTDS) All rights reserved.
© 2008 GungHo Online Entertainment, Inc. All Rights Reserved.
当コンテンツの再利用(再転載・配布など)は、禁止しています。

New Topick

New Comment

Category

RO Player Blog

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。