Znajdź zawartość
Wyświetlanie wyników dla tagów 'exploit' .
-
Pytania dotyczące tokenów MFA / discord token
Piecia601 opublikował(a) temat w Dyskusje / problemy związane z programowaniem
Siemka Przychodzę do Was z pytaniami tutaj, gdyż inne fora stricte pod exploity stały się kolejnymi elektrodami Moje pytania kręcą się wokół tokenów na discordzie, gdyż trudno jest coś dalej grzebać jak nie do końca rozumiem jak one działają (a gdy już myślałem że wiem, nagle okazało się inaczej XD) 1a. Jaki jest ich czas "życia", lub co ile się zmieniają/resetują 1b. Czy token powinien zaczynać się od losowych znaków, czy od "mfa"(Multi-factor authentication) 1c. Czy jest jakaś realna różnica w tokenie normalnym(bez mfa), a tym opartym na MFA - chodzi mi stricte o np czas życia, lub inne parametry które mogą wpłynąć na exploitowanie systemu logowania discord 1d. Dlaczego token na żywca wyrwany ze strony discorda (z zalogowanego konta) nie działa podczas exploitu jsem/podmianka w kodzie strony - a taki wydarty skryptem .py działa (o ile dobrze przeprowadziłem test, to python dał mi token w "normalnej" postaci, a wyrwany na żywca w formie tokena MFA I 3 pytania dot. podpinania "gratisowej" zawartości do zdjęć w formacie PNG(png injection attack - metoda stara jak świat ale może coś da się jeszcze wykrzesać): 2a. Czy podpięcie skryptu opartego o iframe do metadanych pliku PNG może spowodować wykonanie danego skryptu(na osobie klikającej) np na discordzie po kliknięciu w zdjęcie 2b. Czy dodanie do pliku PNG kodu w zapisie hexagonalnym ma szanse bytu teraz i są jakieś realne szanse, iż to zadziała (z tego co mi wiadomo było to patchowane w okolicach 2010/2011 roku, ale nie jestem właśnie pewien) 2c. Czy jest jakiś inny sposób do podpięcia kodu pod PNG / GIF / MP4, tak by kod został odpalony po kliknięciu w obraz/film Ostatnie pytanie, na które jakimś cudem znalazłem bardzo sprzeczne odpowiedzi (lub informacje że zostało to spatchowane): - Czy jest opcja by skrypt na stronie internetowej odpalił batcha na systemie odwiedzającego(po wejściu, lub po klinięciu jakiegoś przycisku na stronie) i wykonał szereg komend zdefiniowanych w skrypcie, lub po prostu odpalił nową zakładkę i w niej wykonał akcje określone w skrypcie na poprzedniej stronie -
Mam pytanie, czy jest jakiś sposób aby ktoś za pomocą exploita, nie widział mojego IP? Chciałbym sobie pograć MM, ale nie chce mi się czekać na aktualizacje, a VPN zwiększa ping.