studi/schülerVZ Hack

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von reQ, 12. März 2009 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 12. März 2009
    guten tag an alle "hacker" hier im RR:Board

    wir besprechen derzeit mit unserem dozenten das thema "sicherheit im netz" und haben auch über studi/schülerVZ gesprochen was das thema datenausspähung angeht.

    und ich bin der meinung gewesen, dass es auch hacks für diese seiten gibt, womit man alle profile sehen kann, sprich auch die unsichtbaren.

    joa und ich würds gerne meiner klasse irgendwie demonstrieren , dass dies auch möglich ist.

    ich selbst halte mich auf diesen seiten nicht auf ...

    ich wäre für jede hilfe dankbar. sufu geused aber nichts brauchbares gefunden, links im ug sind blank gewesen.
     
  3. 12. März 2009
    AW: studi/schülerVZ Hack

    Also ich kann mir nicht denken, dass es soetwas dafür gibt. Die Einstellung, dass jemand unsichtbar angezeigt wird, also dass man nicht alle sehen kann ist Seitens dieses Users eingestellt und von der DB eingestellt und nicht seitens dir, d.h. du kannst nichts machen. Ob meine Überlegung wahr ist, kann ich dir nicht sagen, aber wäre sinnvoll, wenn es so gelöst wäre, denn dann wären diese ganzen Socialsachen noch schlimmer in Sachen Datenschutz.
     
  4. 12. März 2009
    AW: studi/schülerVZ Hack

    Nein gibt es net wäre ja schwachsinn kannste die Leute nimmer ausspionieren :S

    Klick mich


    Aber evtl gibt es ne "Sicherheitslücke" dazu müsstest du wem finden der die neue Funktion "Eingeloggt bleiben" nutzt und dem dann sein Cokkie stealen um es dann zu nutzen bzw auszulesen und dir selber eins zu faken und somit kommste in den Acc
     
  5. 12. März 2009
    AW: studi/schülerVZ Hack

    vielen dank für eure antworten, jedoch erhoffe ich mehr replys zu diesem thema.

    es geht nur um eine demonstration, ich habe keinerlei interesse an diese SN-pages.
     
  6. 12. März 2009
    AW: studi/schülerVZ Hack

    Hallo reQ,
    der gleichen ist schon länger nicht mehr möglich.
    Ganz am Anfang von Studi (vllt auch Schueler) war es möglich
    den valid profilstring in der url auszulesen und ihn dann durch
    das gewünschte Profil zu ersetzen, sofern man dessen userid hatte.

    Ist aber heute 100% nicht mehr möglich.

    Bei Facebook gibt es aber noch einige Lücken im System
    die so ähnlich funktionieren.
    So kannst du von befreundeten Profilen mehr Daten auslesen,
    als der User selbst weiß.

    MfG
    Freezer
     
  7. 12. März 2009
    AW: studi/schülerVZ Hack

    Wie gesagt cookie *hust hust


    Meld dich im ICQ/PM dann setze ich mich mal ran und bastel dir nen Video mit welchem du dann selber eine Demonstration erstellen kannst
     
  8. 12. März 2009
    AW: studi/schülerVZ Hack

    Wenn man an den Cookie dran kommt geht das natürlich ohne Probleme. Ich glaube aber, dass er "beweisen" will, dass es auch ohne größeren Aufwand geht.
     
  9. 12. März 2009
    AW: studi/schülerVZ Hack

    Wie willst du nen Cookie faken, wenn du nicht einmal den Passwort Hash etc hast?!

    Ich denke nicht, dass es nicht mehr geht..
    Das einzige, was du machen kannst, ist:
    Du kannst per Rechtsklick => Eigenschaften im Link die U-ID auslesen und dann gehste auf deine Seite ins Fotoalbum und ersetzt dort deine ID mit der des anderen..

    Dann kannst das zwar nit sehen, wenn der User nicht dein Freund ist und die Settings dafür hat, aber er sieht nicht, dass seine Seite betrachtet wurde.. Und du kannst dir in Ruhe die Pics ansehen, ohne das er/sie es weiß..

    MfG
     
  10. 12. März 2009
    AW: studi/schülerVZ Hack

    Les was ich im ersten Post geschrieben habe gibt genug "Progs" um IE & FF auszulesen und die Cookies "wegzuschicken" vondaher is es möglich so an nen Acc zu kommen dummlaberer Ales² sagt was du laberst nur nach anstatt zu lesen naja raid halt...


    Und das was du beschriebst geht net immer wenn der Benutzer nur Freunden erlaubt dieses Album zu sehen dann kannste es net sehen und was bringt es dir wenn er net sieht das du auf seiner Seite warst ? Kannst auch in den Einstellungen ausschalten
     
  11. 12. März 2009
    AW: studi/schülerVZ Hack

    Aber soweit ich weiß, meint er, dass man auf ein x beliebiges Profil draufgehen kann, als wenn er iwen bestimmtes meint. Denke mal auch, dass das nicht geht. Glaub nicht, dass da solche 0815 Leute rumsitzen die nix kapieren ( obwohl Microsoft theoretisch n gutes Beispiel wäre ^^).
     
  12. 12. März 2009
    AW: studi/schülerVZ Hack

    die idee hatte ich selbst auch schon, aber das funktioniert leider nicht
     
  13. 13. März 2009
    AW: studi/schülerVZ Hack

    Just take a look at:

    http://studivz_crawler.6x.to/
    StudiVZ - Statistiken
     
  14. 15. März 2009
    AW: studi/schülerVZ Hack

    ich meine es gab ein javascript für "Greasemonkey" das du einbinden konntest, und damit auf Profilseiten gehen konntest, die auch angucken konntest, von leuten ihren modus auf unsichtbar gestellt haben bzw. nur sichtbar für freunde.
     
  15. 15. März 2009
    AW: studi/schülerVZ Hack

    Die Lücke gab es definitiv mal. Aber soweit ich weiß, haben studiVZ & co diese gefixxt, sodass z.zt zumindest nichts public existiert.
    Wirst ihnen zumindest diese Demonstration imo nicht bringen können.
     
  16. 16. März 2009
    AW: studi/schülerVZ Hack

    kommste noch irgendwie an das script dran ?
     
  17. 16. März 2009
    AW: studi/schülerVZ Hack

    das gabs im board mal .. hatte das auch bis vor kurzem aber es funktioniert deffinitiv nicht und hat bei mir auch nicht funktioniert (vor 1-2 monaten)

    denke mal die von svz haben halt gemerkt dass es lücken gibt und die geschlossen ..

    trotzdem einfach genug an irgendwelche accs zu kommen und damit zu bauen .. einfach mal bei paar den namen + geburtstag ausprobieren

    die email haben die meisten ja angegeben
     
  18. 16. März 2009
    AW: studi/schülerVZ Hack

    irgendwo wurde sicher auch in sachen sql unaufmerksam programmiert. da lässt sich doch sicher eine injection machen
     
  19. 20. März 2009
    AW: studi/schülerVZ Hack

    mich hat dieses thema auch interessiert und ich hatte den selben gedanken, einmal diese "barriere" zu umgehen und profile von ALLEN anschauen zu können...
    soviel ich weiß liegt BlackDeath ziemlich richtig dass das mit hilfe von scripts möglich ist so etwas zu vollbringen.. "Greasemonkey" wird dabei auch eine wichtige rolle spilen .. ich sag mal zum beispiel, dass man allein schon die farbe von SVZ damit verändern kann oder viele andere modifikationen... das problem ist, dass man nicht an dieses script herankommen kann und es somit eig unmöglich ist...
    ich habe mitbekommen dass SVZ und studivz so ziemlich das selbe script wie das von Facebook verwenden (geklaut ? :>) und man vll so an dieses schema herankommen kann...
    also wie gesagt : es IST auf jeden Fall möglich aber ohne dieses Script wird es schwer (für mich glaub unmöglich -.-)

    mfg TR!xX
     
  20. 20. März 2009
    AW: studi/schülerVZ Hack

    Wieso sollte GreaseMonkey dabei helfen, gesperrte Profile o.Ä. lesen zu können?

    GreaseMonkey funktioniert lokal, klar kannst du damit die Farbe ändern, aber die Rechteverteilung etc. passiert ja auf den SVz-Servern, von daher bringt dir GreaseMonkey nichts..

    und ich schätze nicht, dass svz "security by obscurity" betreibt..
     
  21. 20. März 2009
    AW: studi/schülerVZ Hack

    Laber keinen Müll, mit Greasemonkey kannst du nur Lokale Sachen regeln. Das heißt im Klartext: Dein Script gibt es nicht und wenn es das gibt funktioniert es nicht.
    Man sollte hier mal closen. Da das was er will nicht so möglich ist, wie er sich das vorstellt.
    Lokal könnt ihr da absolut nichts machen, da solche Sachen Serverseitig geregelt werden.

    //Edit: Nette Post Zeit, Pyro
     
  22. 20. März 2009
    AW: studi/schülerVZ Hack

    Vielleicht hängt das Script eine bestimmte GET oder POST-Variable an oder ändert eine, sodass auch nicht-sichtbare Profile sichtbar sind

    MfG, Chrisomator
     
  23. 20. März 2009
    AW: studi/schülerVZ Hack

    Es wäre allgemein ziemlich blöde die Sicherheitsbarriere in Javascript zu Programmieren, da es doch von aussen sichtbar ist ihr Nachwuchshacker . Ich kenne zumindestens noch ein Paar Lücken wo nicht überprüft wird ob du der Accountinhaber bist (beim Löschen von bestimmten dingen wie Nachrichten) wo genau diese sind sag ich euch nicht, mit gewissen Kniffen kriegt man so Teile der Datenbank gekillt :]. Session Hijacking ist mit dem Cookie eines Opfers übrigens auch möglich. Und da sind noch gewisse kleinere Sachen die ich gefunden habe, die ich aber noch unter verschluss halte, und müllt mich deswegen bitte nicht per PM zu .

    Jo und wenn du ein Cookie mit dem Namen Admin und dem Wert 1 erstellst, hast du zugriff auf ne c99 .
     
  24. 2. April 2009
    AW: studi/schülerVZ Hack

    Ich habe kP, wie es geht.
    Aber als ich Geasemonkey drauf hatte, konnte ich wirklich auf alle Profile gehen !
    Das ist aber schon etwas länger her.
     
  25. 2. April 2009
    AW: studi/schülerVZ Hack

    das is es ja, worums ging.. vllt erstmal alles lesen?

    die haben das gefixt und du kannst eben nicht mehr mit greasemonkey auf alle seiten drauf..
     
  26. 2. April 2009
    AW: studi/schülerVZ Hack

    Denke mal es wurde geklärt, dass es nicht möglich ist.
    Closed
     
  27. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.