• XSS.stack #1 – первый литературный журнал от юзеров форума

При включение 2FA на Exploit.IN отправляется запрос в google

Отслеживать

R00v

CD-диск
Пользователь
Регистрация
27.11.2020
Сообщения
16
Реакции
16
При включение 2FA отправляется запрос в google без ведома юзера

httpx://chart.googleapis.com/chart?cht=qr&chs=200x200&chl=otpauth://totp/mymail@mail.com?secret=BXXXXXXXXXXXX&issuer=Exploit.IN%20Forum


то есть хотим активировать 2FA на exploit.in и отоброжается QR картинка
но как параметры передаются mail и секрет от 2ФА на httpx://chart.googleapis.com

п.с Поздравляю всех - слито time, ip, mail и секрет 2FA + возможно другие параметры
п.с.с те кто был со своего VPN рекомендую сменить сервер / vps
 
R00v сказал(а):
При включение 2FA отправляется запрос в google без ведома юзера

httpx://chart.googleapis.com/chart?cht=qr&chs=200x200&chl=otpauth://totp/mymail@mail.com?secret=BXXXXXXXXXXXX&issuer=Exploit.IN%20Forum


то есть хотим активировать 2FA на exploit.in и отоброжается QR картинка
но как параметры передаются mail и секрет от 2ФА на httpx://chart.googleapis.com

п.с Поздравляю всех - слито time, ip, mail и секрет 2FA + возможно другие параметры
п.с.с те кто был со своего VPN рекомендую сменить сервер / vps
Ну ты не открыл америку тем что 2FA прямая дорога к деанону
 
Пожалуйста, обратите внимание, что пользователь заблокирован
ZX9R сказал(а):
Ну ты не открыл америку тем что 2FA прямая дорога к деанону
ну а ты какими превентивными способами воспользовался после утановки 2фа?
 
ZX9R сказал(а):
Ну ты не открыл америку тем что 2FA прямая дорога к деанону
Ты не прав. Ну что плохого в 2fa? Не дискредитируйте нормальный инструмент. Не нужно путать теплое с мягким. Здесь речь идет просто о генерировании бара с QR кодом. Вместо своей либы используется chart.googleapis.com. Можно поставить свою библиотеку и проблема будет решена.

На уровне пользователя, кому это очень критично, локните где угодно (фаерволе/браузере/hosts/т.д.) целиком *.googleapis.com.
На уровне сервера, я передам экспу, вы напишите саппорту тоже, ну заменят библиотеку, это тоже не проблема. Скорее всего, они просто не заметили.
 
admin сказал(а):
На уровне сервера, я передам экспу, вы напишите саппорту тоже, ну заменят библиотеку, это тоже не проблема. Скорее всего, они просто не заметили.
Ну оплошность достаточно серьезная, на экспе разные люди сидят, разными делами занимаются, некоторые более чем серьезными, и такая невнимательность может привести к очень нехорошим последствиям, может сейчас слишком критичного ничего не произошло, не знаю, но если так ставить все подряд на форум, и не смотреть, что там под капотом происходит, куда стучит, куда что сливает, может это все плохо кончиться.
Я думаю, что если вводится новая система, она должна пройти какое-то тестирование, проверки временем, а не резкий переход под угрозой бана практически без обьяснений причин, поэтому люди и усомнились в администрации экспы (я про многочисленные посты с подозрениями)
 
Последнее редактирование:
arsarsov сказал(а):
Ну оплошность достаточно серьезная, на экспе разные люди сидят, разными делами занимаются, некоторые более чем серьезными, и такая невнимательность может привести к очень нехорошим последствиям, может сейчас слишком критичного ничего не произошло, не знаю, но если так ставить все подряд на форум, и не смотреть, что там под капотом происходит, куда стучит, куда что сливает, может это все плохо кончиться.
Я думаю, что если вводится новая система, она должна пройти какое-то тестирование, проверки временем, а не резкий переход под угрозой бана практически без обьяснений причин, поэтому люди и усомнились в администрации экспы (я про многочисленные посты с подозрениями)
Кто не с тора(или хотя бы любого другого браузера настроенного на анонимный серфинг) на такие ресурсы заходит, тот и без гугла сдеанонится рано или поздно. А тому кто юзает грамотный браузер на этот запрос к гуглу вообще пох. Почта палится, плохо конечно, да.
 
ShadowMan сказал(а):
Вообще то, на форумах нашей тематики, не должно быть вызовов сторонних библиотек :cool:
Вот я о том же . Темболее ГУГЛ сервиса который всё к епеням сливает
 
Там есть пара смешных кадров в модераторах, которые имеют (имели) отношение к (!) крупнейшим js-сниферам, и вроде должны в техническом смысле что-то понимать, но исходя из дискуссий на тему - они удивительным образом не видят ничего плохого слать с сервера эксплойта запросы к api Гугла. Все делают акцент только на то, что клиентский браузер (посетителя форума) ничего к Гуглу не шлет. Ну окей, я даже не стал спорить.

Если что, Гугл известен очень хорошими отношениями с ФБР и СекретСервисом и в случае реальных хай-профайл целей, там думаю ребята могут пройти все круги бюрократии, чтобы по итогу проинжектить трафик определенных целей. Даже тупая метадата может быть экстремально полезной в контексте всех этих трехбуквенных контор, которые сквозь годы сидят на террабайтах данных. Это же не твиттер-активисты с подпиской в Глаз Бога и с парой плешивых дампов форумов и джабер-серверов и ЧСВ Кребса.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Flame сказал(а):
критику ФСБ
Так вы уж определитесь, под кем эксплойт, а то одни пишут про СБУ, вторые про ФСБ. Как бы разные, и враждебные друг другу организации.
Хотя я понимаю, что тут суть написать лишь бы написать.
 
Quake3 сказал(а):
Хотя я понимаю, что тут суть написать лишь бы написать.
В моём случае всё основано на реальных событиях, как есть, так и пишу)
Прорицаю: развитие темы тебе не понравится, стало быть тебе сразу вопрос - вот на кой черт сам же форсить начал?)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
R00v сказал(а):
При включение 2FA отправляется запрос в google без ведома юзера
httpx://chart.googleapis.com/chart?cht=qr&chs=200x200&chl=otpauth://totp/mymail@mail.com?secret=BXXXXXXXXXXXX&issuer=Exploit.IN%20Forum
"Запрос в гугл" звучит страшно. Это не POST запрос (когда есть полезная нагрузка), а GET запрос. В URL зашит ключ (secret) сгенерированный сервером (exploit.in) и необходимый для того, чтобы на его основе 2FA на телефоне могло сгенерить одноразовый пароль для входа (ключ + текущее время). Матчасть тут. Ну и как выше писали, никакого криминала тут нет, чарты гугловые используются для генерации QR кода.
 
R00v сказал(а):
При включение 2FA отправляется запрос в google без ведома юзера

httpx://chart.googleapis.com/chart?cht=qr&chs=200x200&chl=otpauth://totp/mymail@mail.com?secret=BXXXXXXXXXXXX&issuer=Exploit.IN%20Forum


то есть хотим активировать 2FA на exploit.in и отоброжается QR картинка
но как параметры передаются mail и секрет от 2ФА на httpx://chart.googleapis.com

п.с Поздравляю всех - слито time, ip, mail и секрет 2FA + возможно другие параметры
п.с.с те кто был со своего VPN рекомендую сменить сервер / vps
грёбаный стыд, и это "один из топовых хакерских форумов" 🤦‍♂️ надеюсь, хоть здесь подобных приколов нет.

BlackByte сказал(а):
"Запрос в гугл" звучит страшно. Это не POST запрос (когда есть полезная нагрузка), а GET запрос. В URL зашит ключ (secret) сгенерированный сервером (exploit.in) и необходимый для того, чтобы на его основе 2FA на телефоне могло сгенерить одноразовый пароль для входа (ключ + текущее время). Матчасть тут. Ну и как выше писали, никакого криминала тут нет, чарты гугловые используются для генерации QR кода.
какая разница, POST или GET, если таргет сервер в обоих случаях получает все данные? "криминал" тут в том, что если вебсервер chart.googleapis.com хранит логи, то "кто надо" может грепнуть эти логи по интересующему емэйлу и получить приватный ключ для TOTP, с помощью которого потом сможет обойти 2FA на сайте, указанном в "issuer".

штош, это очередное напоминание о необходимости пользоваться плагинами для браузеров, запрещающими "3rd party requests" - такими как uMatrix, или Request Policy, или uBlock (в этом надо вручную запретить все 3rd-party запросы в настройках, по умолчанию они разрешены)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх