Új hozzászólás Aktív témák

• #2635 bolbatiku tag Spirit #2633

  Új Válasz 2013-06-01 20:14:44 #2635

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  bolbatiku

  tag

  válasz Spirit #2633 üzenetére

  https://109.201.133.65/index.php?topic=182484.0
  http://www.reddit.com/r/Bitcoin/comments/1chp34/bitcoinnit_be_vigilant_there_are_people_trying_to/
  https://bitcointalk.org/index.php?topic=173227.0

  Az aznapot úgy értettem, hogy a gép bekapcsolásától a kikapcsolásáig. Vagy a böngésző megnyitásától a bezárásáig.

  Védekezés:
  alap: noscript, adblock plus addon a böngészőbe, javascript tiltása
  Fokkal jobb: pénzügyekhez egy külön böngészőt használni, pl az Opera mellé felrakni a Firefoxot rá az addonokat és tiltani a javascriptet
  Ezek mellett: 2 factor authentication emaillel vagy telefonnal

  Persze ettől még sok támadási útvonal nyitva marad, a legjobb az lenne ha a pénzügyek intézéséhez Live CD-ről bootolnál, de ez elég kényelmetlen mert eltart egy darabig.

  Lehet hogy SQLI de eszerint az első körben megváltoztatták az áldozat mél címét, mert ide fogadják a password resethez a megerősítést, kipucolták a pénzt, aztán visszaállítják a tulaj eredeti mélcímét? Mert amikor pass resetet kértél akkor már a saját mélcímedre jött a megerősítő kód, nem arra amin a támadó fogadta a reset megerősítését.

  Ettől függetlenül lehet hogy sqli csak máshogy oldották meg, viszont akkor szerintem több usert loptak volna meg (még úgy is, hogy ismerni kell hozzá az áldozatok user nevét). És ha SQLI akkor a pass resettel basztak valamit, mert a másik út az lenne hogy kinyerik a hash-elt jelszavadat, amit viszont fel kéne tudni törni (25 karaktert még MD5-nél is esélytelen), meg kapnál róla emailt ha beléptek vele.

  Szerintem az XSS a valószínűbb, vagy kombinálták SQLIvel.

  Mindenesetre én ezek után nem bíznék az op rendszerben.

Új hozzászólás Aktív témák