היום נסעתי לצילומי התוכנית "נדבר על זה בבית" בהנחיית עמנואל רוזן!.
זאת תוכנית בנושא אקטואליה שמשודרת בערוץ 2 אחרי כוכב נולד.
הפעם אחד הנושאים אליו ידברו בתוכנית יהיה "האקרים צעירים" (14-).
לפי ההתרשמות שלי אפשר להגיד שצוות התוכנית לא עשו "שיעורי בית" ולמדו על הנושא!.
הם בקשו ממני להדגים SQL INJECTION ופריצה למשתמש הפייסבוק של הכתב.
אז למה אני מתכוון בזה שהם לא הכינו "שיעורי בית"?, הם לא טרחו לבדוק האם הדברים האלה חוקיים ואפשר לפרסם אותם בטלוויזיה!.
לכן לא יכולתי להעלאת את ה-PHISHING שלי לאחסון (גם לא יכולתי לעבוד איתו על WAMP משום שגם הוא לא היה מותקן על המחשב) ולא יכולתי להדגים SQL INJECTION (לפחות לא עד שלב מתקדם, הגעתי רק למצב שבו אני יודע את מספר הטבלאות).
הדבר היחיד אותו יכולתי להדגים בהקשר של הפייסבוק הוא תוכנת KeyLogger שתכנתתי (וגם ממנה הם לא ממש התלהבו).
כבר בבית הייתי מודע לעובדה שכניראה שהם לא בדקו מה חוקי ומה לא ולכן החלטתי לתכנת אתר קטן שמדמה אתר להעברת כספים (כמו PAYPAL)
ובאתר להדגים כיצד ניתן להעביר כסף מחשבון לחשבון כאשר קיימת פרצת אבטחה מסוג CSRF.
התגובה אותה קיבלתי היא: "זה לא אתר בנק אמיתי אז זה לא שווה".
אני מקווה שהם מודעים לעובדה שזה לא חוקי להדגים דבר כזה על אתר בנק אמיתי?!.
הקטע הכי מצחיק הוא שהדבר שממנו הם הכי התלהבו זה כשהראיתי להם את עבודתו של הברוט פורס שלי על מסמך טקסט, עכשיו הקטע המצחיק הוא שהם התלהבו "מאפקט המטריקס" שנוצר.
בכל מקרה אני אתמקד עכשיו בצדדים הטובים!.
היה ממש כיף, היו קטעים נורא מצחיקים בזמן הצילומים והיה נחמד לפגוש את דביר.
לקראת סוף הצילומים הגיעה גיא מזרחי, הספקתי לדבר איתו במשך כמה דקות אל:
"באיזה שלב SQL INJECTION נעשה לא חוקי".
כשבאתי לצאת ולנסוע הביתה קרתה לי פאדיחה ודפקתי את הראש בפנס התאורה.
אני מקווה שנהנתם מהפוסט ואשמח לתגובות (:
זאת תוכנית בנושא אקטואליה שמשודרת בערוץ 2 אחרי כוכב נולד.
הפעם אחד הנושאים אליו ידברו בתוכנית יהיה "האקרים צעירים" (14-).
לפי ההתרשמות שלי אפשר להגיד שצוות התוכנית לא עשו "שיעורי בית" ולמדו על הנושא!.
הם בקשו ממני להדגים SQL INJECTION ופריצה למשתמש הפייסבוק של הכתב.
אז למה אני מתכוון בזה שהם לא הכינו "שיעורי בית"?, הם לא טרחו לבדוק האם הדברים האלה חוקיים ואפשר לפרסם אותם בטלוויזיה!.
לכן לא יכולתי להעלאת את ה-PHISHING שלי לאחסון (גם לא יכולתי לעבוד איתו על WAMP משום שגם הוא לא היה מותקן על המחשב) ולא יכולתי להדגים SQL INJECTION (לפחות לא עד שלב מתקדם, הגעתי רק למצב שבו אני יודע את מספר הטבלאות).
הדבר היחיד אותו יכולתי להדגים בהקשר של הפייסבוק הוא תוכנת KeyLogger שתכנתתי (וגם ממנה הם לא ממש התלהבו).
כבר בבית הייתי מודע לעובדה שכניראה שהם לא בדקו מה חוקי ומה לא ולכן החלטתי לתכנת אתר קטן שמדמה אתר להעברת כספים (כמו PAYPAL)
ובאתר להדגים כיצד ניתן להעביר כסף מחשבון לחשבון כאשר קיימת פרצת אבטחה מסוג CSRF.
התגובה אותה קיבלתי היא: "זה לא אתר בנק אמיתי אז זה לא שווה".
אני מקווה שהם מודעים לעובדה שזה לא חוקי להדגים דבר כזה על אתר בנק אמיתי?!.
הקטע הכי מצחיק הוא שהדבר שממנו הם הכי התלהבו זה כשהראיתי להם את עבודתו של הברוט פורס שלי על מסמך טקסט, עכשיו הקטע המצחיק הוא שהם התלהבו "מאפקט המטריקס" שנוצר.
בכל מקרה אני אתמקד עכשיו בצדדים הטובים!.
היה ממש כיף, היו קטעים נורא מצחיקים בזמן הצילומים והיה נחמד לפגוש את דביר.
לקראת סוף הצילומים הגיעה גיא מזרחי, הספקתי לדבר איתו במשך כמה דקות אל:
"באיזה שלב SQL INJECTION נעשה לא חוקי".
כשבאתי לצאת ולנסוע הביתה קרתה לי פאדיחה ודפקתי את הראש בפנס התאורה.
אני מקווה שנהנתם מהפוסט ואשמח לתגובות (:
6 תגובות:
תוכנית טלוויזיה.. מה אתה מצפה.. הם לא יתלהבו אם תפרוץ לפנטגון, הם יתלהבו אם תריץ מספרים ירוקים בחלון של CMD.
בכל מקרה, נשמע שהיה נחמד, יהיה מענין לנסות לנחש מי אתה ומי זה דביר בתוכנית.. ומה גיא עשה שם? O_O אני מאמין שהוא נתן איזה ראיון קטן, לא?
אני לא ממש יודע מה גיא עשה שם בגלל שהספקתי לראות אותו רק ל-5 דקות בערך, אני משאר שראינו אותו.
בכל מיקרה כמו שכתבתי מה שהם התלהבו ממנו היה "אפקט המטריקס" שנוצר מהברוט פורס...
התוכנית תשודר או ביום רביעי או חמישי (לי אמרו רביעי, לדביר חמישי, אז לא בטוחים) אחרי כוכב נולד, תנסו לנחש מי זה אני ומי זה דביר :).
SQLI ב FACEBOOK :O
לא הבנתי בהקשר למה זה?
אולי לא הבנת נכון אבל ה-SQLI מהעניין שהם בקשו ממני להדגים פריצה למשתמש הפייסבוק של המנחה לא קשור :)
תאמת מה שבאמת יכול להיות פריצה חלקה ולא הכי ליימרית שיש זה sqli שאתה יודע...
פישינג, BF זה כבר באמת ילדותי ואפילו מי שלא נחשב היום כהאקר יודע מה זה באמת פישינג ואיך להתגונן.
בברכה, iOrel.
רציתי להציג עוד דברים והם לא היו מעוניינים :\
לדוגמא:
CSRF COOKIE INJECTION SESSION HIJACKING LFI/RFI
ועוד דברים...
הם בקשו שאני אראה איך אפשר לפרוץ למשתמש פייסבוק, הדרך היחידה שאני מכיר זה או פישינג או קיילוגר או BF...
אם אתה רוצה שאני ארשום לך כל מה שאני יודע אז תגיד, כי לפי ההודעות ניראה לי שנוצר לך רושם שאני יודע רק SQLI ודברים ליימים כמו פישינג
אני יודע עוד הרבה התקפות ושפות תכנות (אני אוהב ווב, אני ממש לא אוהב תכנות תוכנות (משפחת C וכו...))
הוסף רשומת תגובה