Voting manipulieren

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von joergiman, 12. April 2007 .

Schlagworte:
  1. 12. April 2007
    Hallo Leute!

    Wie kann ich das Voting unter http://frequency.at/index.php?id=900 manipulieren, so dass eine bestimmte Band auf einen schlag um 10000 stimmen mehr hat, mit jeweils 8 sternen.

    eine kurze info => das voting überprüft die ip => pro ip nur ein voting.

    kann mir jemand helfen? für eine antwort wär ich sehr dankbar.
     
  2. 12. April 2007
    AW: Voting manipulieren

    ip wechseln. einfach router neustarten. MÜsste doch eig gehen.

    IM ug giebts ein programm das macht das ganze in 3 sec.
     
  3. 13. April 2007
    AW: Voting manipulieren

    10000 mal router neustarten? oO
    außerdem funzt das prog nich immer...
     
  4. 13. April 2007
    AW: Voting manipulieren

    is doch ne lösung^^ muss dir halt laaaaaaaange zeit nehmen

    mhm... alo bei mir hilft das proggramm es geht eig immer.Wir reden ja schon vom gleichen?? das Frizbox neustarten in 3 sec?
     
  5. 13. April 2007
    AW: Voting manipulieren

    nimmste dir die programmiersprache deiner wahl.. machstn n browser auf dein formular und lässt per proxies anklicken --> viele klicks
     
  6. 13. April 2007
    AW: Voting manipulieren

    SChreib dir nen kleines Script was dir von diversen Internet Seiten HTTP-Proxies aus dem Netz filtert. Dann nen zweites Script was die Seite jeweils mit nem anderen Proxy aufruft
     
  7. 13. April 2007
    AW: Voting manipulieren

    ja, das problem bei dem ganzen ist aber, dass das script dauernd laufen muss... kann man nicht werte in die datenbank schreiben?
     
  8. 13. April 2007
    AW: Voting manipulieren

    man könnte es ja in php schreiben, ist nur die frage ob ich da per sockets die auswahlen machen kann...

    Das ist ja garkein flash oder so.. nur ein link wo ich ein parameter ändert!

    http://frequency.at/typo3conf/ext/music/ajaxRating/db.php?j=[ANZAHL DER STERNE]&q=901&t=[IP]&c=8

    da müssteste sogar nur die IP von nem proxy eintragen oder dir eine ausdenken.. ich teste..

    *test*

    mh.. also irgend ne ip eintragen geht nicht.. also werden die denk ich mal deine ip mit dem paramete "t" prüfen.. das heißt per proxy einfach n socket machen

    Code:
    
    <?php
    
    $host = "www.frequency.at";
    $port = 80;
    
    $mySocket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
    echo "created \r\n";
    $result = socket_connect($mySocket, $host, $port);
    echo "connect.. \r\n";
    
    $header = "GET /typo3conf/ext/music/ajaxRating/db.php?j=[ANZAHL]&q=[BAND_ID]&t=[IP]&c=8 HTTP/1.1\r\n";
    $header .= "Host: www.frequency.at\r\n";
    $header .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\r\n";
    $header .= "Connection: keep-alive\r\n";
    $header .= "Referer: www.frequency.at";
    $header .= "Connection: Close\r\n\r\n";
    
    socket_write($mySocket, $header, strlen($header));
    echo "send header.. \r\n";
    
    socket_close($mySocket);
    
    ?>
    
    
    das wäre der code ohne Proxy mit Proxy muss ich nochmal forschen.. hab ich noch nie gemacht ..
     
  9. 13. April 2007
    AW: Voting manipulieren

    Meint ihr wie bei Rapidshare die Wartezeit umlaufen?
    • 1.Cookies löschen.
    • 2.Modem neustarten.

    So funkzt es bei mir.
     
  10. 13. April 2007
    AW: Voting manipulieren

    Eventuell nach einer XSS Lücke suchen. Dadurch köntne man das Voting auch manipulieren!
     
  11. 13. April 2007
    AW: Voting manipulieren

    schreib dir nen script.

    methode.1:
    router/fritbox/horstbox über telnet neustarten
    per inetcontrol voten
    ...

    methode.2
    router per inetcontrol neustarten
    per inetcontrol voten
    ...

    mittem bissle basteln geht das schon

    ps:
    cookies garnet erst einschalten, dann gehts auch ohne cookies zu löschen
     
  12. 13. April 2007
    AW: Voting manipulieren

    Es scheint so als ob man den Link

    "http://frequency.at/typo3conf/ext/mu...ting/db.php?j=[ANZAHL DER STERNE]&q=[BAND_ID]&t=[DEINE_IP]&c=8"

    beliebig oft aufrufen kann!

    also mit OPera aufmachen und dann automatisch reload aller 5 sek fertig viel spaß
     
  13. 13. April 2007
    AW: Voting manipulieren

    habs auch grad getestet, das funkt, jedoch würd ichs nicht machen, da die ip wohl geloggt wird und wenn da 10000 mal die gleiche ip untereinander steht, wennses überprüfen...

    naja auf jeden fall macht der link das script 10 mal einfacher
     
  14. 14. April 2007
    AW: Voting manipulieren

    leute. ich habe das gleiche voting script unter: Unobtrusive AJAX Star Rating Bar | Software | Masuga Design gefunden. scheint das gleiche zu sein. auch die parameter sind gleich. hier wird aber auf die server-variable überprüft, das heißt, woher der request kommt.

    und das mit dem im browser eingeben funktioniert nicht, da der gesamtvotingstand der gewünschten band sich nicht erhöht.
     
  15. 14. April 2007
    AW: Voting manipulieren

    Cross-site-scripting...

    Wenn man genau hinsieht, ist in der Abo-funktion eine lücke
    Du musst nurnoch dem admin den manipulierten link schicken und fertig

    geb einfach mal neben "newsletter" in das feld das ein: <script>alert("lol")</script>... dann weißt du, was ich meine

    was noch funktionieren könnte, wäre session-hijacking, also dem admin ein session vorgeben und dann sich selbst mit dieser session anmelden.
     
  16. 14. April 2007
    <script>alert("lol")</script>

    es ist zwar eher offtopic, aber auch ich habe eine frage zu nem vorhergehenden beitrag;
    Wie könnte denn ein mit Hilfe von CrossSiteScripting manipulierter Link für den jeweiligen webmaster der seite aussehen ?
    Und in welcher sprache findet das cross-site-scripting denn statt? Auf mich macht es den Eindruck als ob es Java(Skript) wäre?(
    und es scheint auf garnicht so wenigen Seiten zu funktionieren.
    Ich hoffe, das ganze wird nicht als Request angesehen. Mich würde nur mal interessieren was CrossSiteScripting so an Möglichkeiten offenlegt. (=

    mfg

    My-Doom
     
  17. 14. April 2007
    AW: <script>alert("lol")</script>


    XSS – Wikipedia
     
  18. 14. April 2007
    AW: Voting manipulieren

    es wird praktisch mit javascript ein link zu einer .php datei erstellt, der den cookie und weitere daten enthalten kann. Dann wird mit dem php-script einfach nur der cookie ausgelesen und du hast die zugangsdaten vom administrator.
     
  19. 14. April 2007
    AW: Voting manipulieren

    Das ist eine Variante von XSS. Wahrscheinlich auch die gebraeuchlichste aber nicht die einzige!
     
  20. 15. April 2007
    AW: Voting manipulieren

    erklärt mir das mal genauer mit "<script>alert("lol")</script>"
     
  21. 15. April 2007
    AW: Voting manipulieren

    Vorweg: <script>alert("lol")</script> ist einfacher Java(Script) code.
    So, nun hats ja auf der im 1. post benannten Seite so ein kleines "form input" kästchen, also da wo man eigtl seine email adresse eintragen soll. Dh., dass was du in dieses Kästchen einträgst, wird an den Server übermittelt und als bestätigung(dass die eigegebene eMail adresse aufgenommen wurde) wieder ausgegeben. Dh. auch, dass jene email Adresse bzw. eingabe auch im Quellcode der betreffenden Homepage zu stehen hat. (Ohne Quellcode keine ausgabe^^). Da man nun ja so gesehen zugriff auf den Quellcode der Homepage bekommt, kann man auch andere sachen als eine eMail adresse in jenem integrieren. so zB das <script>alert("lol")</script> (<script>DasScriptHisself</script> vermittelt dem browser, dass an dieser Stelle des Quellcodes ein JavaScript zu "parsen" ist. Dh. nun denkt man sich noch einen schönes Script aus, wie es zb alert("message"); ist und kann somit ein PopUp auf der neu generierten website erzuegen.

    Ich hoffe das ist vorerst genug erklärung. Auch ich kann dir jetzt den WikipediaArtikel bzgl des Themas nahelegen.

    mfg

    My-Doom
     
  22. 15. April 2007
    AW: Voting manipulieren

    also ich hab das jetzt verstanden, nur was schreib ich dann in das script rein, kann ich das nehmen, was mir "icq-light" vorgeschlagen hat? wenn dieses script funktioniert, ist das dann egal, ob das voting script an sich meine ip überprüft? und wenn ja, wie funktioniert dass dann automatisiert?
     
  23. 15. April 2007
    AW: Voting manipulieren

    übrigends - die länge des newsletter- "abo" feldes ist begrenzt, man kann also keinen gesamten voting link einfügen!
     
  24. 15. April 2007
    AW: Voting manipulieren

    holl dir was zum router reconecten und autoit dann schreibste dir nen script (pups einfach) und lässt den pc von alleine machen
     
  25. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.