BLOG

Je to již nějakou dobu, co jsem redakční systém WordPress vyměnil za svůj vlastní. Jak se ale později ukázalo, nebyla to ta nejlepší volba (tedy aspoň prozatím ne). Můj systém sice fungoval dobře (nebo aspoň tak jak měl), ale nedařilo se mi odchytávat spamy.

Zprvu jsem se to pokoušel vyřešit různými podpůrnými weby, později jsem zkusil i JavaScriptovou captchu, bohužel všechny tyto pokusy selhaly a jelikož jsem odpůrcem klasické captchy (kdy uživatel musí opisovat nesmyslné texty, nebo zaškrtávat různá políčka), rozhodl jsem se udělat krok zpět a vrátit se k WordPressu.

Tady už vše funguje jak má, existují tisíce pluginů, všechno je vymakané, tak proč zbytečně znova objevovat Ameriku, že? Tím ovšem nechci říct, že jsem svůj systém smazal z disku a tím snaha končí. To ne. Jen jsem odložil jeho vývoj jak se říká „na dobu neurčitou“ :D

Třeba se k němu zase později vrátím, uvidíme.

Na Facebooku se mi podařilo naleznout další aplikaci, kterou lze velmi snadno hacknout. Tentokrát se nejedná ani tak o chybu v zabezpečení jako spíš o chybu samotného autora. Ten si možná při vytváření aplikace této zásadní chyby nevšiml, nebo se mu ji už nechtělo opravovat. Ať tak či tak, dá se této chyby velice snadno zneužít.

Nejprve by bylo možná dobré si trošku přiblížit, o jakou aplikaci se jedná. Tak jedná se o Facebook „hru“ ve které máte za úkol co nejvícekrát klknout myší během 30ti vteřinového intervalu. Za každé kliknutí dostanete 1 bod.

O úspěšný hack podobné hry jsem se pokusil v minulém článku.

Dnes to ovšem bude o dost jednodušší. Nepotřebujete žádný debugger a ani jiné podobné programy. Vlastně nepotřebujete žádné programy. Vše co potřebujete je webbrowser (ten nejspíš vlastníte, neboť v opačném případě byste teď nečetli tento článek :D) a myš.

V čem hack spočívá

Jak jsem již řekl, samotná hra na Facebooku hned v úvodu obsahuje chybu. Touto chybou myslím nepřesné překrytí herního tlačítka vrstvou s nápisem GET READY! Chyba je krásně vidět na následujícím screenu:

Jak můžete vidět na horní a spodní části obrázku, horní vrstva zcela nepřekrývá herní tlačítko. Stačí tedy jen myší klikat na tyto části tlačítka a budete dostávat body bez toho, aniž by se spustil odpočet času.

Až si naklikáte požadovaný počet bodů, stačí kliknout na GET READY a regulérně hru dohrát, poté zveřejníte výsledek na své zdi.

Pokud chcete naklikat tisíce, desetitisíce či snad statisíce kliků, bude lepší stáhnout si nějaký autoclicker. Kde takový program sehnat, jak jej nainstalovat a používat zde popisovat nebudu, jistě to každý průměrný uživatel zvládne sám :)

Pro představu, zde je můj výsledek (pomocí autoclickeru samozřejmě):

Pokud máte otázky, či se chcete podělit o své zkušenosti, můžete k tomu použít komentáře :)

Fenomén jménem Facebook zde jistě všichni znáte a proto se tu o něm nemusím dlouze rozepisovat. Jedná se tedy o celosvětovou sociální síť, kde si založíte profil, navážete kontakt se svými přáteli, nahráváte své fotografie a nebo třeba využíváte různé přidružené aplikace. O jedné takové bude dnes řeč.

Přesněji – jedná se o Facebook aplikaci Click Challenge 3.0. A proč se o ni budeme bavit? Protože je velmi špatně řešená a obsahuje chybu, pomocí níž se dá velice snadno hacknout.

V aplikaci Facebook – Click Challenge 3.0 jde o to, kolikrát během 30 vteřin stihnete kliknout myší na tlačítko a nasbírat tak body (1klik = 1bod). Pomocí menší úpravy skriptu si však můžete prodloužit čas a také změnit, kolik bodů dostanete za kliknutí. Jak už jsem říkal, aplikace není moc dobře zabezpečená a jelikož je napsaná přehledně v JavaScriptu, autor aplikace naservíroval chybu přímo pod nos.

Nejprve je nutné otevřít si aplikaci mimo Facebook. Jak tento krok provést zde nebudu vysvětlovat, každý průměrný uživatel to jistě ví. (externí odkaz)

Jelikož budu celou operaci provádět v prohlížeči Mozilla Firefox, bude nutné si stáhnout doplněk FireBug. (hledání a instalaci doplňku zde opět popisovat nehodlám)

Poté stačí již jen spustit Click Challenge přes externí odkaz a zároveň aktivovat FireBug.

Ve Firebugu stačí otevřít záložku HTML, kliknout na tlačítko UPRAVIT a rozkliknout skript, který se nachází těsně před značkou body (náhled níže):

<script type="text/javascript"><br /></body>

V tomto scriptu najděte tento řádek:

var vtime = 30; 

Jak si asi správě myslíte, hodnota 30 udává počet vteřin ve hře. Stačí tedy hodnotu přepsat třeba na 300 a rázem máte 300 vteřin na klikání.

Dále najděte tento kód:

function inform(){
 vclick += 1;
 document.getElementById('eclick').innerHTML = vclick;
 if(start == 1){interval = setInterval('sec()',1000);start = 0;}
}

function mclick(){
 vclick += 1;
 document.getElementById('eclick').innerHTML = vclick;
 document.getElementById('eon').value = vclick;
 if(start == 1){interval = setInterval('sec()',1000);start = 0;}
} 

Zde je na dvou místech vidět zápis vclick +=1 znamená to, kolik bodů se má přičíst za jedno kliknutí. Stačí „1″ nahradit třeba „1000″ a rázem za jedno kliknutí dostanete 1000 bodů.

Po menším tuningu skriptu to tedy vypadá tak, že máte 300 vteřin na to abyste klikali přičemž za 1 klik dostanete 1000 bodů. Jak vidíte, není problém zde naklikat miliony či stamiliony bodů.

Jakmile si naklikáte požadovaný počet bodů, stačí počkat, než uběhne vámi nastavený čas. Poté vyskočí klasické dialogové okno Facebooku, které se Vás zeptá, zdali chcete výsledek zveřejnit na zdi. Pokud kliknete na „Zveřejnit“ objeví se na Vaší zdi, že jste naklikali třeba 11 milionů bodů za 30 vteřin. Jistě budete mezi Vašimi přáteli za experta.

Návod pro Operu (Autor: Dan Dušek)

Pokud není něco jasné, komentáře jsou k dispozici.

Jak jste si již jistě všimli, proběhl redesign webu. Jelikož se mi starý vzhled zdál již okoukaný, málo atraktivní a zbytečně složitý, rozhodl jsem se pro nový, minimalističtější vzhled kde bude ještě méně informaci :D

Ano, chtěl jsem něco mnohem minimalističtějšího a typicky blogového. Představu tedy mám a hurá do kreslení. I když se mi ze začátku moc nedařilo a jednu dobu jsem dokonce chtěl návrh nového designu vzdát, nakonec se mi to po několika šálcích kávy a několika probdělých nocích konečně podařilo.

Jak můžete vidět, design je na první pohled mnohem přehlednější a mnohem kontrastnější, než ten starý. Je tu daleko méně informací (připadalo mi zbytečné zobrazovat poslední komentáře či nejčtenější články), méně odkazů, ale o to více zde čekejte obsahu!

Jelikož mám konečně design, který se mi líbí a se kterým jsem spokojen, nic nebrání tomu, abych konečně začal na blog aktivně přispívat. V hlavě mám již pár námětů na nové články, které se pokusím vydat během několika následujích dnů.

Na závěr bych se snad chtěl ještě omluvit za případné chyby, neboť nasazení designu na můj redakční systém nebylo zas tak jednoduché. I když jsem samozřejmě provedl standartní kontrolu webu je možné, že se nějáké chybičky vyskytnou. Pokud byste něco takového zaznamenali, hlaste prosím zde do komentářů, do vzkazníku, nebo v sekci kontakt. Děkuji.

Chyby (a jiné vylepšení) o kterých vím a v současné době pracuji na jejich odstranění:
-> GALERIE – patička webu a vůbec celá sekce odspodu ujíždí
-> TWITTER BOX – v současné době nejde zavřít
-> picture viewer (už mám vyhlídnutý, připravuji testování a
implementaci)
-> styly nadpisů
-> stránkování
-> odkazy v patičce

V posledních dnech došlo k hack útokům na webhosting Banan.cz.

Došlo celkem ke dvěma hack útokům, přičemž byly dvakrát vyřazeny servery Banan.cz a při druhém útoku došlo dokonce k odcizení informací o klientech – unikla data několika tisíců klientů. Dokonce i těch, kteří již dávno klienty firmy Banan s.r.o nejsou.

Firma se snažila tyto události zamést pod koberec, ovšem informace se dostaly ven a proto přišla firma s tiskovým prohlášením, které je přinejmenším směšné.

Ano, opravdu je to tak! Jeden z největších webhostingových gigantů v ČR byl napaden hackery a to hned 2x! Oba útoky byly úspěšné (i když to Banan s.r.o oficiálně nepřiznal).

K prvnímu hacku došlo v Pondělí (18.1.2010), to se na webech hostovaných u Banan.cz (a i na hlavní stránce Banan.cz) objevil tento nápis:

Ze strany webhostingu nepřišla žádná reakce.

K dalšímu hacku došlo 21.1.2010 (co viděl jeden z klientů firmy Banan s.r.o si můžete prohlédnout na druhém screenshotu)

Tentokrát už ze strany firmy došlo k vydání tiskové zprávy (čtěte zde), ovšem celá tato zpráva je směšná a jakýkoliv zkušenější uživatel internetu se jistě nad touto zprávou pousměje.

Nakonec bych rád řekl, že k hack útoku může dojít kdykoliv a na kohokoliv, ale takový způsob, jakým se k problému postavila firma Banan s.r.o je přinejmenším zajímavý.

Na serveru Webtrh.cz vzniklo diskuzní vlákno, kde se můžete o celé události dočíst více. Najdete zde jak screenshoty, tak vyjádření klientů a další informace. – diskuze zde.