Lexi2002
Przy pomocy wpisów możesz zadać autorowi pytanie, pochwalić go, poprosić o pomoc, a
przede wszystkim utrzymywać z nimi bliższy kontakt. Pamiętaj o zachowaniu kultury,
jesteś gościem :) *Jeśli chcesz odpisać konkretnej osobie, użyj funkcji " Odpowiedz" - osoba ta dostanie powiadomienie* ×
Zaloguj się, aby dodać nowy wpis.
Religijny samoquizowicz: Bóg sprawił że mój quiz trafił na główną
Ateistyczny samoquizowicz: Warunki materialne były odpowiednie aby mój quiz trafił na główną
Agnostyczny samoquizowicz: Nikt nie wie czemu mój quiz trafił na główną
Odpowiedz
4
Lexi2002
AUTOR•jakby ktoś się zastanawiał
to nadal nie dostałyśmy odpowiedzi od moderacji
może dostaniemy za parę miesięcy czy za rok
w międzyczasie wracamy do robienia słabych wpisów kilka razy na miesiąc
anyway jak ktoś lubi kolorowe kwadraty to polecamy zapisy
https://samequizy.pl/kompas-polityczny-z-uzytkownikami-samequizy-zapisy-otwarte/
Lexi2002
AUTOR•Hej, mamy całkiem ważną wiadomość
Tydzień temu na SQ znalazłyśmy błąd który pozwalał na czytanie wiadomości prywatnych innych osób
dotyczy to wiadomości wysłanych w ostatnich 2 miesiącach
Nie dostałyśmy jeszcze odpowiedzi od moderatorów, ale błąd ten został już naprawiony
Mimo to, jest duża szansa że ktoś inny też znalazł ten błąd
Dlatego, jeśli ktoś w ciągu ostatnich 2 miesięcy np. wysyłał komuś swoje hasło do konta grupowego czy dla "legalnego włamu"
To bardzo polecamy je zmienić
Też byłybyśmy wdzięczne gdybyście podali tę wiadomość dalej
bo my same nie mamy jakiegoś dużego zasięgu
Lexi2002
• AUTOR@Herytiera Specjalnie nie chcemy mówić szczegółów jak się wykonywało ten błąd, bo nie dostałyśmy odpowiedzi od moderacji
w skrócie:
wchodziło się w swoje wiadomości i widziało się losowe konwersacje innych
nie dało się specyficznie wybrać osoby której wiadomości się widziało,
ale mając wystarczająco cierpliwości, lub jakiś program który by to robił automatycznie, w końcu trafiłoby się na tę osobę
bardziej technicznie:
kiedy wchodzisz w swoje wiadomości, twoja przeglądarka/aplikacja wysyła żądanie do https://samequizy.pl /wp-content/chat.php?action=get_messages&convo_id=[id konwersacji]&convo_hash=[hash konwersacji]&chat_nonce=[numer jednorazowy]
id konwersacji to po prostu numer, bo każda konwersacja jest ponumerowana
i jak się tworzy nową konwersację z kimś to liczba zwiększa się o 1
hash konwersacji to jest "hasło" konwersacji
to suma otrzymana prawdopodobnie za pomocą algorytmu MD5, który jest nieodwracalny, więc nie wiemy jak jest ona generowana
numer jednorazowy to (chyba?) numer tworzony po zalogowaniu się
(lub to jest po prostu numer przypisany do konta, nie jesteśmy pewne)
i wydaje nam się że on jest odpowiedzialny za ochronę przed atakami CSRF
(albo za sprawdzanie czy konto należy do konwersacji, trudno powiedzieć bez dostępu do kodu SQ, ale wątpimy bo normalnie odpowiedzialne za to są ciasteczka)
więc jak się zna id i hash, oraz serwery SQ mają zapisane że nasze konto należy do konwersacji
to można po prostu samemu wysłać te żądanie
i otrzymać wszystkie wiadomości w konwersacji
normalnie to nie jest problem, ponieważ tylko osoby w konwersacji znają hash
oraz tylko ich konta są powiązane z konwersacjami
ale ten błąd pozwalał na "tworzenie" konwersacji które już istniały
co sprawiało że otrzymywało się hash konwersacji, oraz serwery SQ zapisywały sobie że należymy do konwersacji
więc dało się widzieć konwersacje innych
anyway
mamy nadzieję że wytłumaczenie jest satysfakcjonujące
to nie ragebait
Herytiera
@Lexi2002 Ok, teraz to brzmi dużo bardziej sensownie niż na początku, ale dalej nie wszystko jest jasne (zwłaszcza ten moment z "tworzeniem istniejących konwersacji"), anyway przynajmniej wiem już, o co mniej więcej chodzi.
Lexi2002
AUTOR•tym razem to nie my zepsułyśmy stronę
ale przy okazji odkryłyśmy coś znacznie gorszego niż zepsuty ranking…
jednak nie powinnyśmy zdradzać detali dopóki nie dostaniemy odpowiedzi od modów że naprawione
bo to chyba jeden z najgorszych błędów w historii strony
szczupakciepogryzie
im invested in ts
reane
@Lexi2002 moglby pojsc przez to lawsuit na tym etapie xd
Lexi2002
AUTOR•Hej gamerzy czy u was ranking też zepsuty?
Lexi2002
• AUTORranking wrócił do normalności…
litruwa
Jak zrobiłeś swoje tło
Lexi2002
• AUTORzrobiłyśmy skrypt w pythonie który wysyła żądanie o zmianę tła do serwerów sq
i w tym żądaniu da się dołączyć animowany obrazek