1. găseşti un exploit la scriptul folosit pe img.zoso.ro
2. îmi dai mie mail cu exploitul.
3. la 5 minute după, postezi pe un forum.
4. peste încă 5 minute, img.zoso.ro moare.
5. aştepţi mulţumiri şi laude.
Faceţi cunostinta cu Agape Mihai.
ps: dacă folosiţi zenphoto, vă puteţi căca pe el. e vai mama lui.
Ah dar ce fan sexy ai. Şi de o inteligenţă… sclipitoare! :)))
Unde ii gasesti mai Zoso?
Faptul ca ai pus in articol imaginea unui om care ti-a raportat un bug, te claseaza undeva sub nivelul lui. Pacat, caci te citesc de multa vreme si pana acum aveam impresia ca Zoso e un personaj cu o oarecare inteligenta demna de apreciat si care tranteste de asfalt cu idioteniile altora. De data asta ti-ai trantit-o pe a ta.
mi-o raportezi si in 5 minute o faci publica? asta era ideea?
Te referi la asta: https://www.neogen.capital/ ?
Internetul este plin cu astfel de luptatori de gherila wannabe. Cat timp te ataca e de bine, inseamna ca te invidiaza pentru ceva.
Omu-i paznic ma, n-ai ce sa-i ceri ! Haifaivistu` bodyguard, cu basini de hacker. Ce vrei mai mult de-atat ? :))
Bade Zoso dc esti lent suferi ai avut destul timp 4’59”
Omul putea sa o puna direct la ShowOFF pe acel forum si sa te lase in treaba ta … in timp ce cativa copii plictisiti de vacanta iti puteau face zob site-ul daca se incordau putin din muschi. Poate si el trebuia sa astepte patch-ul mai intai, dar nici tu nu ai procedat OK.
Am observat adineauri post-scriptum, nu stiu de ce reactionezi asa. Eu iti vorbesc decent, tu ma iei cu injuri! Eu nu am nici o treaba cu faptul ca img.zoso e down.. doar am vazut reactia ta care mi s-a parut nepotrivita!
A, si esti sigur ca tot el ti l-a dat jos? ..de fapt tu pe cine injuri acum?
e acelasi lucru. ca l-a pus la 5 minute dupa ce m-a anuntat, ca nu ma anunta…e cam acelasi lucru.
eu pe el in injur, ca el e bou. ala care a belit pe acolo, asta e, acum nah, a gasit usa deschisa, ce era sa faca. dar el mi-a dat mail si astepta felicitari si multumiri.
o fi vreun ratat si asta..dupa poze are spre 40 de ani..varsta necesara pt o familie si copiii…el ce face? sta si se uita cum danseaza o pitzipoanca pe masa (doamne ce mutra de ratata si alchoooolista avea si aia) nasool……..
Da, acelasi zoso cu aceiasi atitudine, felicitari
In mod normal se procedeaza cu totul altfel. Adica, mai intai disclosure si apoi anuntarea administratorului. Te-am anuntat mai intai din simplul motiv ca nu aveam cont pe RST si a trebuit sa imi fac. Nimic mai mult.
Apropo, vezi ca n-ai nimerit-o cu pozele. Nu sunt chiar singurul cu numele asta din toata tara si tinand cont ca nu tin minte sa-mi fi pus vreo poza cu mine pe net … ai inteles ideea :).
PS: Ai putea sa nu-i bagi si pe altii in polemica asta ? Daca omul si-a spus parerea si nu e de acord cu tine nu inseamna ca e prost.
eu nu inteleg de ce insisti. serios. ai facut o prostie, gata, asumati-o si aia e.
si uite, acum prietenii tai pe care i-ai anuntat incearca sa imi futa si alte chestii de pe server.
ce s-a intamplat?
omul a gasit un bug in zenphoto si la 5 minute dupa ce m-a anuntat a pus la voi pe forum vulnerabilitatea. si dupa aia cineva mi-a futut img.zoso.ro
ah..nu e nimic nou..asa e demult
acuma am inteles..ratat
E „bune” si alea 5 min, daca nu erau deloc te bucurai mai tare? Poza lui pe blogul tau nu se justifica, e cam rusinos… Data viitoare o sa te atace fara sa mai zica nimic.
Pt un zeu al gramaticii, „asumati-o” e o greseala impardonabila. Asuma-ti-o si treci la colt. Stiu ca nu o sa dai accept la comment, da’ plm, te-nveti sa scrii corect data viitoare….
Agape Mihai sa-ti explic pe romaneste ce ai facut poate o sa intelegi: ai observat ca un vecin a uitat usa deschisa la apartament si ai fugit repede in fata blocului unde ai pus un afis mare „mergeti copii repede la apartamentul X ca fraierul a uitat usa deschisa”.
Mare realizare, meriti o diploma de merit nu? Nu ma refer la penalul situatiei ci la comportamentul tau total iresponsabil. Stiu, esti prea idiot ca sa intelegi.
Omul a facut o prostie ca a pus afisul cu fraierul care a uitat usa deschisa, dar macar a sunat la politie inainte. Bine, e prost ca a pus afisul, dar nu il omoram cu pietre de acuma, il tragem de urechi, ii explicam de ce e prost, dar ii mai dam o sansa….
@oribilul in momentul in care faci analogii cu viata reala: fail.
nu a murit nimeni din asta, nu? atunci lasati-o pe pace.
@zoso: si reactia ta e cam… naspa.
Hahahahaha omul este agent pe masina de interventie in Iasi, de foarte multe ori fumez tigara si beau cafeaua cu el sau colegii lui la non stop-ul din cartier. Haideti fratilor nu e hacker omu …
Acuma serios .. eu cel putin nu cred sa fie el autorul, cel mai probabil e altcineva care a gasit contul omului pe net si ti-a tras tie teapa.
@zoso, la faza asta ai cam dat-o in bara. Da trebuia sa aduci multumiri celui care ti-a trimis vulnerabilitatea. Dar tie iti place mai mult sa injuri … nici o problema, la urmatoarea vulnerabilitate e posibil sa nu mai primesti nici un mail si serverul down. Recomandarea mea este sa iti securizezi serverul, iar daca nu poti pe tine sa te injuri ca nu ai reusit.
@darkyndy: esti prost. la ce imi foloseste ca mi-a spus daca a pus-o repede pe net?
Oribilul, ce ai scris tu, ca orice alta analogie e retardat. ca de obicei.
nu compara pixeli, pentru care ai de obicei si backup copy’s cu real live shit.
zoso, aboneaza-te la
uite un search dupa zenphoto.
[ exploits/shellcode ]
-::DATE -::DESCRIPTION -::HITS -::AUTHOR
2009-07-16 ZenPhoto Gallery 1.2.5 Admin Password Reset (CRSF) 1477 R D petros
2009-07-15 ZenPhoto 1.2.5 Completely Blind SQL Injection Exploit 1445 R D petros
2007-12-31 Zenphoto 1.1.3 (rss.php albumnr) Remote SQL Injection Exploit 4769 R D Silentz
btw, atitudinea ta nu e tocmai ok din punctul meu de vedere, dar nu conteaza asta
@zoso – esti chiar atat de prost, omu a postat un banal xss in cacatu ala de zenphoto, ai murit ca a postat cumva omu xss-ul, ce morti masi e doar un xss, da cum tie iti place sa mananci cacat doar ca sa mai adaugi un post ai facut din asta ditamai drama si o sa o continuui gen otv-elodia, esti jalnic omule, E DOAR UN AMARAT DE XSS, a si sa nu uit, pentru toti idiotii de aici care au sarit repede cu gura, cititi despre xss si dupa aia sariti cu acuzatii si idei idioate, credeam ca esti putin mai inteligent zoso da se pare ca esti idiot ca si cititorii tai si pentru daemien eu am un respect imens pentru ce reprezinta daemien ca om
si tu esti prost. l-a postat si in 5 minute cineva mi-a bulit bula. cum pla mea sa nu fiu suparat? ma-ta te-a fatat prost sau te-a scapat in cap de cateva ori?
zoso, benny_lopata
nu va mai certati, nu sunt nimeni prosti
http://galleryproject.org/
Pentru toţi aşa – zişii cunoscători: nu aşa se face. Chestiile astea nu se fac publice indiferent de circumstanţe, pentru că pot provoca pirderi. Corect ar fi fost să dea e-mail (ventual şi cu soluţia), să aştepte rezolvarea problemei şi apoi să spună care era problema, dacă avea nevoie de un plus de imagine.
Aşa, cele 5 minute nu sunt folositoare nimănui. Pentru că nu poţi rezolva nimic în 5 minute, nici dacă vrei. Să faci chmod la mii de poze (le faci 555 sau ceva), ca primă măsură, durează mai mult de 5 minute.
Dar no, hai să ne dăm mari cu distrugerile, nu cu chestii constructive…
Sunteti toti niste prosti, Zoso e cel mai destept. Si daca omu’ ala chiar n-a avut rea-vointa si chiar a vrut sa te ajute? Daca a postat pe forum doar asa ca sa se laude cu ce-a gasit el si fara nicio intentie malefica? Ti-a trecut prin cap ca poate ai dat de pamant cu el degeaba? Nu, nu ti-a trecut ca tu te crezi Doamne-Doamne.
Apropo, nu merge link-ul de pe neogen care l-ai dat, scrie:
Hmm, pagina pe care o cauti nu poate fi gasita.
si-o fi sters oare contul?:))
@zoso: Ce versiune aveai instalata? Era ultima?
A dat cu el de pamant? A dat pe dracu’. A postat pzoe cu un om total in afara subiectului pe care l-a dat drept vinovat.
Si de ce ar fi fost respectivul Agape Mihai obligat sa-i trimita mail? Din prea mult respect ? Las-o balta. Asta e procedeul clasic pe site-urile de hacking. Gasesti un exploit, il postezi, altcineva actioneaza. Zi mersi pentru mailul ala de avertizare.
Voi nu ati vazut replica data de Agape Mihai?
Omul recunoaste ca nu a vut nici cea mai mica intentie sa-l ajute pe zoso.
A gasit o vulnerabilitate si a postat-o.
Zoso a ras pana acum de toti „ratatii” care nu-si pot securiza site-ul…acum a venit si randul lui…
Da bine Andreo ca sti tu ca ala era el. Ca si ala din poza. De ce i-o mai fi trimis mail atunci…sa se distreze. Oricum ar fi 1. da, zoso a ras de toti, acum trebuie sa se oftice si o face n-are treaba si 2. faza cu poza si tot postu’ si felul in care-a tratat subiectul, de tot cacatul.
Cred ca spiritele se vor calma abia la full disclose. In general cei care se sperie de la un xss remediabil, intra in vizorul black hat pt ca sunt vulnerabili sentimental.
Voi v-o luati in gura si tot voi aveti tupeu. Poate nu tipul a facut rau, el doar a descoperit vulnerabilitate, si vreun script kid de pe RST v-a ars.
Am renuntat si eu la zen, are o gramada de gauri si buguri cat cuprinde.
Pentru toate labele care sustin aceasta atitudine: imi doresc sa uitati sa va inchideti usa la apartament, sa observe vecinul si, in loc sa va anunte si sa se asigure ca ati rezolvat problema, sa faca disclosure la 5 minute cu un afis pus pe intrarea in bloc pe care sa scrie etajul si apartamentul.
Cazul ideal, daca ar exista Mos Craciun: sa fiti plecati 2 saptamani in concediu.
Toate labele cu cosuri (la propriu si/sau la figurat, irelevant) se pisa pe ele de emotie cand au ocazia sa explice cum vine treaba cu moralitatea si corectitudinea actiunilor lor. Nu va mai amagati. Sunteti doar niste labe. Atat.
Asa de chestie, pentru restu’ desteptilor care sustin ca a posta vulnerabilitati (disclosure) inainte de a fi remediate ar fi ok : mai bagati un ochi pe hackerblog. Au mai multa onoare …
agape, asta-i sigur moldovean…..
deci n-are pasaport.
Ai incercat cu pixelpost?
@zoso: te lamentezi aiurea. Ai loguri, ai IP-uri, ai dovezi, contacteaza politia. Exista un serviciu specializat care te poate ajuta. Punct. Zici ca esti copil mic.
@Agape Mihai:esti pe langa prietene. Ai o intelegere gresita a conceptului de full disclosure. Nu iti explic eu, gugal it singurel o sa vezi ca ordinea e alta.
Solutia cea mai simpla: exista un 0-day pentru un program pe care il folosesti? Nu-l mai folosi!
Eu nu cred ca ai pierdut ceva. Sunt sigur ca la atata munca in acesti ani faci back-up… Poate munca in plus, degeaba…
un bou