YouPandora
Meine neueste Errungenschaft: Ein Programm, welches Youtube-User freezed und somit verhindert, dass dieser sich einloggen kann; je nach verwendung sogar lebenslänglich
Vorgeschichte:
Von langeweile geplagt hingen ich und Hann!bal wieder im Netz rum und überlegten uns was wir diesmal wieder hacken. Ein bisschen rumgetrödelt, bisschen gehacked und da kam uns die Idee eines XSS Wurms. Eins auf Youtube wäre cool dachten ich mir! Also gingen wir beide auf die Webseite los und wollten Vulnerabilities suchen die uns unsere Machenschaften erleichtern sollten.
Ich tippe also www.youtube.com in den Browser und möchte mich einloggen. Benutzername eingetippselt, aber Passwort vergessen
Nach ein paar Fehlversuchen meint Youtube plötzlich: Du hast zu oft vergeblich versucht, dich anzumelden. Bei einem weiteren fehlgeschlagenen Versuch wird dein Konto eventuell vorübergehend gesperrt.
Oh Gott. Wollten sie wirklich den Benutzer sperren, und nicht die IP die versucht sich dort fälchlicherweise anzumelden? Wenn dem so wäre, könnte man glatt den alten MSN Freezer im neuen Glanz wieder beleben, diesmal für Youtube (ja ich weiß, das Tool war lame, aber das Prinzip war brilliant).
Also ein paar mal mehr versucht mich unter falschen Daten anzumelden, und Youtube meldete sich mit:
Du hast zu oft vergeblich versucht, dich anzumelden. Bitte warte einen Moment, bevor du es erneut versuchst.
Und tada, mein Account war wirklich ein paar Minuten gesperrt. Um ganz sicher zu gehen bat ich Hann!bal sich in meinem Account anzumelden, aber ihn ereilte die gleiche Meldung. Also war eines sicher: Das war eine ziemlich kleine, aber lustige “Sicherheits”lücke.
Wir fingen beide an zu coden. Ich in Ruby, er in Perl. Fertig waren 2 Scripte, die uns ermöglichen jeden Benutzer von Youtube lebenslang zu sperren Möglich ist das, weil zwar der Benutzer nach ein paar Minuten freigeschaltet wird, aber das Script dann wieder versucht sich falsch anzumelden.
Hier kriegt ihr meinen und sowohl Hann!bals script:
YouPandora&YouFreeze
If you enjoyed this article please consider staying updated via RSS. Links to your own social media pages could be added here.
This entry was posted on Saturday, January 3rd, 2009 at 03:49 and is filed under IT Security, Programmierung. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
January 5th, 2009 at 00:33
Wie starten man das?
January 5th, 2009 at 16:56
Für das Ruby Teil, erstmal einen Ruby Interpreter für das jeweilige Betriebssystem installieren, und für das Perl Teil, einen Perl Interpreter installieren
Das Perl Script startet man einfach, der fragt dich dann nach den Daten.
Das Ruby Teil erklärt sich doch auch selbst:
ruby youpandora.rb
Wo ist das Problem?
January 5th, 2009 at 19:05
ah ok, habs jetzt verstanden danke
January 7th, 2009 at 22:03
Tja, grad mit dem Browser gestestet, funktioniert wirklich. Fragt sich nur ob die zuständigen Leute ein Blackout hatten. Bei Google Accounts wird man nach ner Zeit einfach gebeten ein Capcha-Code zu lesen. Wenigstens etwas mehr als nur ein Freeze, Information Disclosure, jetzt dürfte man meinen, die selben Leute, die das Login System bei Google geschrieben haben sind nicht gleichzeitig auf YouTube am Werk. Ich sehe nicht die gute Nachricht, aber immerhin . Ist zwar nichts besonderes, aber trotzdem lustig.
January 7th, 2009 at 22:40
Nach langer langer Zeit geh ich ma wieder auf deine seite und merke ‘Eddy goes Profesionall’. Seit den kalten Wintertagen hab ich auch ma wieder mein Borland7 angeschmießen und muss sagen deine Tuts helfen einem echt gut wieder reinzukommen .
cu
January 14th, 2009 at 14:59
Dein RSS-Feed ist kaputt -.-
February 11th, 2009 at 18:06
Tag.
Find gut was du machst, allerdings bitte nicht vergessen, youtube zu informieren, dauert 2 min..
Hoffen, dass irgendwann ein mitarbeiter auf deinen blog stößt wär n bissl doof, da jetzt viele ein werkzeug zum sperren in der hand haben (was allerdings auch “gut” genutzt werden kann.. bei usern die zbsp immer wieder rechtsradikales material verbreiten oder ähnliches).
Ich kenn mich mit der ganzen materie überhaupt nicht aus, find deine aktionen trotzdem sehr gut. danke auch fürs aufdecken von DLC, dadurch wurde die DLC2 “produktion” ja erst angetrieben..
auch wenn du damit vermutlich etlichen leuten auf die nerven gehst weil sie jetzt 100te von GBs neu uppen dürfen.
naja
gruß
anonym
February 13th, 2009 at 09:12
Ganz ehrlich, jeder Container der sich hinter Closed Source versteckt kann nicht viel taugen. Die Entwickler würden den Code Public machen wen sie wüssten das er sicher ist.
Und die Leute die meinen sie können ihre Links iwie verstecken haben meiner Meinung nach keine Ahnung von PC’s, gib mir irgendeinen x-beliebigen Container und mit 90% wahrscheinlichkeit krieg ich den Link…
gruß,
born2die