Přepis řeči - Vyhackuj si motorku aneb internetové soutěže pod kontrolou hackerů

0:00:25	dobře pudeme asi na praktické ukázky těch typů soutěží na internetu existuje celá řada patrně
0:00:33	ste se setkali s nějakýma hlasovat škám kdy máte prostě nějaký soutěže kam třeba a
0:00:40	plujete fotografi a potom čekáte až vám návštěvníci toho webů
0:00:45	dají co nejvíc hlasů
0:00:47	a
0:00:48	ti o
0:00:49	soutěžící který prostě ty hlasy získají
0:00:52	tak si vodnáší ty ceny
0:00:55	potom se můžete setkat třeba
0:00:59	s flash ovými rámy
0:01:01	kde zase úkolem získat nejlepší skór f té hře
0:01:04	no a kdo prostě to skóre získá vyhrávat
0:01:08	další typy soutěží jsou například ta
0:01:12	nějaký vyplňování dotazníku a je toho slosování a tou štajgr nebudu mít těch praktických ukázkách
0:01:19	ale řekneme si že ani tyto soutěže
0:01:21	není problém s manipulovat
0:01:23	prosím vás napadá ještě nějakej typ soutěží já si myslím že to co sem řekl
0:01:27	jsou asi ty nejčastější
0:01:30	tak a
0:01:33	přistoupíme tedy první soutěží kdy máme soutěžilo nejhezčí škatuli
0:01:39	a nevím co ste čekali že tam bude sou tam opravdu škatule
0:01:45	tak a
0:01:48	ochrana kterou zvolili a ty pořadatelé této soutěži
0:01:55	tak je vidět že
0:01:59	vlastně při na vás budu chtít přidat druhy h se napíše mi to mezi jste
0:02:03	hlasovala prostě už hlasovat nemůžu
0:02:06	a
0:02:07	každá ta soutěž je nějakým způsobem ošetřena určitě se nesetkáte nesoutěží vy tam budete klikat
0:02:14	vodafonu vás to prostě bude pouštět tak by to asi nefungovalo a ty pořadatelé si
0:02:19	to uvědomují takže nějaké ty ochrany zavádí
0:02:23	a této soutěži tu a nejhezčí škatuli
0:02:28	tak použili ty pořadatelé ochranu pomocí tím
0:02:33	a její jestli já předpokládám že asi kutí dneska už není neznámý pojem že budete
0:02:40	vědět o co se jedná ve chvíli kdy odešleme hlas
0:02:43	ten se započítá na straně serveru na server nám pošleme nějakou t p hlavičku set
0:02:48	kupí
0:02:49	a nastaví na nultý který ten náš prohlížeč
0:02:52	fi uloží informaci že už proběhlo hlasování
0:02:56	když budeme chtít hlasovat podruhé tak společně s tím hlasem odesíláme tyto kutí který říká
0:03:02	tomu server u už sme hlasovali takže ten server si to zkontroluje do dostal pokuk
0:03:07	í
0:03:08	oukej už hlasování proběhlo
0:03:12	takže žádný takový
0:03:15	tak jí jak to zmanipulovat v tomto případě to asi opravdu triviální a jasná záležitost
0:03:21	ukryje uložený na straně to uživatele takže tomu uživateli bude stačit když prostě toku písma
0:03:28	že
0:03:29	tu informaci o tom že už bylo hlasovali
0:03:31	takže já si tady otevřu
0:03:33	nějakej kluk i manažer
0:03:35	vidím že tam na doméně soutěže c z jinak filtru doménu nehledejte tam byste našli
0:03:41	něco jinýho motor lokálně pojmenovaný soutěže c z takže
0:03:45	a to ve mně nenajdete
0:03:47	nebo najdete tam skutečné soutěže takže můžete pokračovat jako další krok
0:03:54	tak já tady
0:03:56	some až u
0:03:57	to kutí
0:04:01	a budu hlasovat takže tady máme pět hlasů a už tam mám ještě z dallasu
0:04:06	znova to nejde protože zase máme kupní zapsáno takže ho smažeme
0:04:13	a můžeme při a další hlas
0:04:15	takže
0:04:16	takle jednoduchý to je abysme nemuseli toku ty pro každý smazat za hlasovat
0:04:23	tak proč rovnou kluky nevypnou tatína ten prohlížeči vůbec nemůže uložit tu informaci o tom
0:04:30	že už bylo hlasová
0:04:33	já tady vypnu podporu
0:04:36	tím zakážu
0:04:38	tak a můžu hlasovat jako život
0:04:42	hlasy nabíhají
0:04:45	takže
0:04:47	naprosto jednoduchá záležitost a hlav it soutěži tímdle způsobem dokážete zmanipulovat
0:04:54	pokud to sou pořadatele
0:04:58	trošku
0:04:58	znalejší zatím to teda dojde že pomocí to u tý by to nešlo
0:05:05	a tak udělají třeba soutěžilo nevěstě kočku tak co tam bude
0:05:11	samozřejmě že kočky
0:05:19	tomto případě máme kulky zakázaným
0:05:24	a vyzkoušíme hlasovat takže přidali jsme jeden hlas
0:05:28	tak další hlavní dat nemůžu
0:05:31	a já to proti vyzkouším zapnou
0:05:35	a nemáte s tím nic společného teď už teda nehrajeme nakoupíte ochrana tam bude udělaná
0:05:41	nějaký na a
0:05:43	po uši ne na straně toho prohlížeče ale na straně toho server
0:05:50	a bude se tam kontrolovat a pravděpodobně í p adresáře které ten hlas přichází tak
0:05:56	je ten server prostě si vede databázi ní p adres ze kterých se hlasovalo a
0:06:02	jakmile prostě ta í p adresa je vidět že už hlasovala tak podruhý nemůže
0:06:08	a tohleto je občas problém když máme nějaký velký sítě
0:06:14	kdy všechny vystupují boty jednou veřejnou i p adresou
0:06:18	tak si prostě dva hlasů jenom jeden člověk strašně těch a nikdo jinej už nemůže
0:06:22	ale
0:06:23	poblíž
0:06:24	jak to
0:06:26	jak to obejít
0:06:28	a tudletu ochranu
0:06:31	tak možná vás napadne existujou nějaké pro při servery na internetu veřejně dostup některý dokážou
0:06:37	přesměrovat tu vaši komunikaci že vy odešlete ten požadavek pro při serveru
0:06:42	a ten pro při server teprve na ten webový server
0:06:46	vy si můžete tu adresu toho pro tři server ú libovolně měnit a
0:06:53	na nějaký existující prostě adresy těch pro při server
0:06:57	každopádně takle budete asi schopni uděláte nějakých
0:07:00	stovky hlasů třeba když budete mít nějakej lobista se stovkou těch pro tři server ú
0:07:07	ale těžko tak budete dělat tisíce desetitisíce hlasu
0:07:11	protože tolik praxi server u prostě veřejné jich na tom internetu nenajdete
0:07:16	tak
0:07:18	druhá věci ještě ty pro při servery když přes ně směřujete tu komunikaci tak oni
0:07:24	většinou přidávají do té komunikace t p hlavičku x forwarder for
0:07:31	která říká
0:07:32	pro jakou p adresu oni vlastně to komunikaci směřují
0:07:37	takže že původně že to je z mojí adresy na to pro chci pak na
0:07:41	ten webový server a ten webový server vědí teda people adresu t pro syny a
0:07:46	vidí i
0:07:47	hlavičce covered for mojí t p adresu
0:07:52	no a právě proto aby nebylo možné takle používat ty pro při servery tak se
0:07:59	na to webovým server u často kontroluje
0:08:02	právě ta hlavička x forwarder for takže já když pojedu přes víc praxi server utekli
0:08:07	xor dva default budu mít stále stejný a prostě blíže hlasů pod do nekonečna já
0:08:14	tak virových čem je problém
0:08:20	ta hlavička recovered for
0:08:22	teda úplně vpohodě podvrhnout
0:08:25	my si můžeme napsat jakou chcem
0:08:27	takže
0:08:29	a zase tady když vezmu nějaký do plně
0:08:36	tak dám tady hlavičkový curvature z funktoru podvrhovat a dám tak jako lokální p adresu
0:08:42	sto dvacet sedum nula jedna ješte stuff pro běh hlasovém takto s medituju
0:08:48	na si tam tady konec
0:08:51	se jí
0:08:53	rozhlasová
0:09:05	takže všud máme druhý hlas
0:09:08	změníme
0:09:10	obsah
0:09:12	té hlavičky
0:09:15	trojku
0:09:19	tak a zase krásně přidáváme hlasy i když to kontroluje tu víte adresu problém je
0:09:24	tam vtom že to kontroluje tu hlavičku x forvard for
0:09:29	a samozřejmě zase nebudeme to dělat takle že dycky změní make adresu klikneme jednoduchej skripta
0:09:37	nám tam odešle těch tisíce požadavků
0:09:39	prostě během minuty takže
0:09:43	další možnost prostě jak stoupej
0:09:46	tak přesuneme se na
0:09:49	soutěž největší žádnou
0:09:52	taky určitě jste nečekali nic jinýho
0:09:56	tak jako kontrolu máme tady zkoušíme
0:10:02	hlasovat jeden vás druhý hlas už nejde vyzkoušíme změnit hlavičku
0:10:08	forward fórem
0:10:15	prostě to nejde
0:10:16	tak tady už nám opravdu
0:10:20	provozovatele hlídají
0:10:24	to víte adresu skutečnou ze které pochází ten požadavek
0:10:30	a tu adresu tam už máme opravdu možnosti jedině že najdeme opravdu nějaké transparentní pro
0:10:36	při které nepředávají tu hlavičku tvorové for
0:10:39	a uděláme s nějakej seznam těch pro při na lexém říkal dokážeme tak získat maximálně
0:10:44	stovky hlasu
0:10:46	tak
0:10:47	zase napadá pouštět někoho jak by se tahle ta soutěž dala obojí
0:10:54	tak a
0:10:56	si tady vezmu
0:10:59	chvíli tužku budu se tady snažit trošku kreslit uděláme to pomocí útoků krosany trik šatstvo
0:11:06	viděli
0:11:08	a ten útok probíhá tak že vlastně to hlasování
0:11:13	na ní
0:11:15	vlastně
0:11:16	my když klikneme odesíláme ten hlas a nejčastěji pomocí nějakého pět požadavků
0:11:23	to znamená že vidím f udolá adrese na nějaký ty soutěže soutěž potom ta máme
0:11:29	proměnnou dvou ta rovná se dvě nebo tři o proud který pro produkty možností hlasujeme
0:11:38	co se stane když třeba sme vlastníky nějakého webů kde máme návštěvnost řekněme
0:11:47	tisíce uživatelů denně
0:11:49	a my na ten náš v
0:11:51	uložíme
0:11:53	na tom ale tak t m g
0:11:56	se
0:11:59	tak t p
0:12:05	soutěže
0:12:08	čili když se ze ta
0:12:11	a dáme tady vše budeme hlasovat to pro volbu dva
0:12:16	a každý kdo navští ten náš v
0:12:21	tak vlastně jeho prohlížet se bude snažit načíst obrázek a odešle ten request na stranu
0:12:27	toho server ú a ten uživatel nevědomky nám tam vlastně za hlasuje
0:12:32	pokud je uživatelům to máme opravdu tisíce denně tak nám tady budou přibývat tisíce hlasů
0:12:36	denně a ty uživatele vůbec neví o tom že hlasů
0:12:41	a
0:12:43	opravdu každej hlas nezmíníte adresy protože prostě je to odesílají různí lidé
0:12:49	a neví o tom
0:12:52	ta ochrana
0:12:54	tady by se dala nasadit třeba hlídání hlavičky referrer která říká z jaké stránky to
0:13:00	přichází
0:13:01	takže kdyby to bylo na jakým
0:13:04	webu vlastně ten obrázek jako c z tak té hlavičce refer by na tom serveru
0:13:09	bylo vidět je to přichází z jako c a nestih soutěží
0:13:16	ta hlavička čáslav se vyskytne nějakej exploit pro prohlížeče a d podvrhnout takže i s
0:13:22	tím by se dalo trošku pohrát
0:13:24	ní
0:13:25	možná nejdůležitější že se dá udělat aby ta hlavička se ne odesílal a
0:13:30	takže
0:13:32	když potom tu hlavičku neodešle tak ten server to většinou vezme
0:13:37	protože ne všichni jsou schopní tu hlavičku reserva vysílat
0:13:42	oni některé hraniční prvky na té síti
0:13:45	tu hlavičku vyhazuju protože může být nebezpečná
0:13:48	takže není problém dělat aby ty uživatele vlastně hlasovali best hlavičky refer
0:13:53	třeba tím že ta naše stránka bude t p s
0:13:57	načtená přes ten protokol zabezpečen a tam podle nějakých těch
0:14:02	ref c čeká to nesmí odesílatel
0:14:05	ten refer
0:14:08	tak a
0:14:09	možnost jak to ošetřit správně
0:14:12	vidíme další soutěživou nejhezčí pozadí
0:14:19	a tady je
0:14:24	sem tam měl nějaké hlas
0:14:25	a tady opět to prostě je nějaká kontrola ale druhá věc která tu je na
0:14:33	nebudem moc dobře vědět protože to tady dole vtom ú do
0:14:36	tak
0:14:38	každá ta
0:14:39	to na každý ten hlas vlastně má vždycky ještě nějaký parametr nejenom to vote vetřela
0:14:46	dva takže hlasů pro volbu dva
0:14:48	ale má tady ještě parametr ty k to a nějaký jedinečný identifikátor který pokaždé když
0:14:55	bude zvyšovat tu stránku
0:14:57	tak ten ty pět se bude měnit
0:15:01	je to vlastně ochrana proti těm útokům typu cross aidy křeslo jerry kdy mi když
0:15:07	tomu uživateli generujeme tu stránku
0:15:10	tak si uložíme do databáze ještě že sme mu dali takovej a takový ty ke
0:15:15	a že sme to dali tomu konkrétnímu uživateli z určitou líp adresou
0:15:20	a ve chvíli potom ten uživatel za hlasuje tak se to podívá jestli takový ty
0:15:24	ke dnu byl vystavenej a teprve když se zjistí že ano tak ten hlas je
0:15:28	platnej ve chvíli kdy by chtěl útočník podvrhne ten obrázek tak on si může vygenerovat
0:15:35	tykat pro sebe
0:15:37	ale ten už nebude platnej pro ty uživatele zimní chyba adres pro ten ty který
0:15:41	je
0:15:42	sloučeny osmi spojený s tou b adresou
0:15:45	komu to bylo vystaveno
0:15:47	takže tím můžeme potom krásně tu soutěž ošetřit
0:15:53	pak vás napadá štét někoho jak by se to dalo obejít i ve chvíli to
0:15:58	máme ty ke ty
0:16:01	tak i když tam máme ty ke ty je tak stále ty provozovatelé těch nebo
0:16:07	pořadatele těch soutěží
0:16:08	nemají vyhráno
0:16:10	protože při
0:16:12	prosím
0:16:16	ne
0:16:24	jo jako pokud bysme
0:16:27	dekom přemýšlim javascriptem my bysme mohli uživatel navštíví naší stránku
0:16:34	to mi musela bejt zranitelnost krasavic skipping na té doméně aby my sme byli schopni
0:16:38	sto uranu přečíst týkat a odeslat to
0:16:42	pod věděla skytne může přistupovat do jiných domén
0:16:45	takže musilovi tam i zranitelnost krasavic lifting souš na osumdesát procent bude
0:16:50	a na ty domény
0:16:52	no a najít ve kréta zranitelnost kreslit skripty není je docela umění
0:16:58	tak
0:17:00	vy to uděláme trošičku jinak uděláme to pomocí klíče tím
0:17:05	jak by jak by takový útok vypadal
0:17:10	tak
0:17:12	já tady zkusím vytvořit nějakou webovou stránku
0:17:36	vlastně útočníci tedy dělá webovou stránku a udělá to že
0:17:43	tu konkrétní stránku f s tou soutěží načte do toho i se jim práva
0:17:49	tak já tady zalže nějakej
0:17:51	frame
0:17:59	vezmu tu adresu s tou soutěží
0:18:37	kdo
0:18:54	takže do stránku s tou soutěží sme si načetli do rámu
0:18:59	já to možná trošku zvětším
0:19:03	takže dáme tady k tomu ram unk nějaké styly
0:19:33	čím
0:19:34	tak my můžeme ten rám udělat průhledné
0:19:38	takže
0:19:39	řekněme
0:19:41	je nastavíme další
0:19:44	vlastnost to asi ty
0:19:48	já to udělám deko poloprůhledná tak žádná celá pět
0:19:53	jako ne ten nám taky poloprůhledná i
0:19:55	a tam kam chci aby ten uživatel kliknout tak tam vložím nějakej prvek třeba tlačítko
0:20:00	klikni sem
0:20:02	takže
0:20:15	tak zase
0:20:17	tom tlačítku dán nějaké styly
0:20:21	dámu absolutní pozicování abych si to tlačítko dál kam potřebuju
0:20:45	jo nechám tam to
0:20:53	že tady je vidět to tlačítko sme si dali tady let ten a
0:20:58	ten r a můžu děláme úplně průhledný
0:21:01	takže opacity nastavím
0:21:03	na nula
0:21:06	tak
0:21:07	samozřejmě se to dá víš taková daleko líp by to bylo
0:21:10	prošků
0:21:12	dneska dáváme něco zadarmo vstup tady
0:21:14	jo rozešle na třeba ímejlem odkaz na to nebo dáme ten odkaz někam do fóra
0:21:19	je to jedno
0:21:20	a uživatel dyž přejde na tu stránku a klikne na to tlačítko
0:21:26	tak on nedělá nic jinýho
0:21:28	než že klika na ten obrázek a dává hlas if té soutěži
0:21:34	takže tentokrát vlastně vtom rámu tomu uživateli byl vystaven ten tykat pro něho
0:21:40	tam vlastně klikne odesílá to on takže
0:21:42	v tomhle případě ušila
0:21:45	ta webová aplikace nemám moc šancí
0:21:48	jak vlastně poznat že de o nějakej podvržené já vás
0:21:53	tam potom že obrana spočívá jenom v tom že my musíme zablokovat aplikaci ta běžný
0:21:59	uživatel mohl načítat do ram to znamená že třeba přidáme a t p hlavičku
0:22:06	x frame ovšem s kde vlastně zakážeme to načítání from
0:22:10	tím pádem to
0:22:12	se do toho rand aplikace nepodaří načíst a
0:22:16	ošetříme to tím
0:22:18	tak i já se přesunu na
0:22:23	další
0:22:25	další
0:22:27	jsou těžká teďko nejsem na internetu takže
0:22:31	takže tady s tady měli být vlajky a like what niob phased on table přice
0:22:38	zakazuje používat jelení platny provo nějaké soutěže
0:22:44	a hle stejně většina pořadatelů prostě ty soutěže zakládá na těch like what
0:22:50	tadleta soutěž se dá obejít a pomocí toho klid checkingu úplně stejně protože ty jo
0:22:55	mají platný nejsou nic jinýho nešli frame i
0:22:58	a díky tomu
0:23:00	že ty ale dva ty se načítají size buku prostě a perfektní to chce aby
0:23:05	to bylo možný načítat dodám tak a tam žádná ta ochranná pomocí
0:23:11	i celý mokřin s není a my si kdykoliv můžeme tam y ta ten vzít
0:23:15	dát tu ránu vlastně každý s tyhle dva tu data který se dejme nějaký nese
0:23:20	céčko vlastně ten zdroj a vám stačí že vy prostě vezmete ten zdroj
0:23:24	dáte vona tu svoji stránku do ram uděláte to průhledný
0:23:28	klidně není problém to quit jakým udělat že ten rám je třeba jenom pět krát
0:23:34	pět pixlů
0:23:36	a je dynamicky že se vám drive furt pod nižší
0:23:39	takže vy můžete
0:23:42	klikat kam chcete anglicky kliknete prostě do toho rámu kam chcete utočí
0:23:49	takže ten
0:23:50	pokud je ta soutěž na základě těch like what no tak opět pomocí k jakýmu
0:23:55	žádný problém
0:23:57	a tady vpodstatě u žádná ochrání neexistuje protože flash book to umožňuje načítat do ram
0:24:03	tak prostě jako pořadatelé se tomu nebráním
0:24:09	tak já bych opustil vyhlas ovečky protože času a bývá
0:24:15	budeme se podíváte na ty selešová tehdy
0:24:20	klešťové kdy jsou opět a
0:24:23	poměrně
0:24:24	častým typem soutěží
0:24:30	tak já si tady zahraju
0:24:37	to už nechám upadat ten jeden blok mi bude na vítězství stačí
0:24:47	tak
0:24:48	ve chvíli kdy sme do kde ta hra vlastně funguje ta nefunguje na server od
0:24:51	a funguje u nás prohlížeči
0:24:54	my sme nahráli nějaké skóre a teď přichází čas kdy mi to skore musíme odeslat
0:25:00	na ten webový server
0:25:01	takže proč to nezmanipulovat vlastně to odesílání
0:25:07	takže já tady když
0:25:10	román ke konci zapnu nějaký
0:25:13	lokální pro si
0:25:29	vlastně ten pro k si nástrojů udělá to že se postaví mezi ten prohlížeč a
0:25:34	webový server tak si nám to stoupne doprostřed a bude nám to vlastně stopovat ty
0:25:40	požadavky které vlastně ten prohlížet odešle
0:25:43	když je můžeme upravit a teprve potom a přepošlem dál
0:25:47	na té webový server
0:25:52	takže já tady
0:25:54	zapnu to zachytávání
0:25:59	tak odešlu skóre
0:26:07	jo
0:26:11	takže to by analog a
0:26:16	tady někde cetu pro lokál s nepoužívá
0:27:15	tak omlouvám se za komplikace
0:27:19	tím že to blíží na lokál s
0:27:25	věříte teďkon
0:27:28	z je c
0:27:47	dobře tak
0:27:49	já si já si tedy na
0:27:53	odpustím nebo já zkusím byl ještě jednu věc a to vám tady přes jinej nástroj
0:28:00	tajdle ten doplněk
0:28:03	tak ještě jednou si zahraju protože mě to baví
0:28:07	ale mohl být opadat rychlejší takže počkáme
0:28:30	a tomu sitová stahování tyto doufám fungl bude
0:28:45	tak z nějakého důvodu
0:28:47	ani toto nechce teďko
0:28:54	se na slovo
0:29:18	dobře
0:29:21	nedá se nic jo
0:29:24	ne tři mi to
0:29:45	takže a poté se nám čas blíží já dyžtak odpoledne bude na todle téma ještě
0:29:51	workshop poklici do budete chtít všechno sem i vyzkoušet
0:29:54	tak a věřim že tam zprovozníme kdy věci který jede konzolový
0:30:00	je co sem měl teďkons plán uděláte vlastně zastavit to odesílání skóre přepíšete skóre odešlete
0:30:07	na ten server
0:30:08	a krásně to projde
0:30:12	u těch ostatních r když tak na tom hošku workshopů si ukážeme tak tam se
0:30:17	dělají ochranným těch plyšových r že vy
0:30:21	nahrajete nějaké skóre
0:30:24	napíšete vlastně nějakej to svoje kontaktní údaje třeba odešlete to na ten server
0:30:29	a tak zašová aplikace udělá to že vezme to skóre přidá k tomu nějakou sůl
0:30:34	dělá s toho hash a na ten server vodesílá nejenom skóre ale i ten hash
0:30:41	kontrolní
0:30:43	na straně toho server ú se potom zase vezme to skóre přidělá se k tomu
0:30:47	ta sůl završuje se to porovnají se ty naše jestli sedí nebo n
0:30:53	ve chvíli kdy ty ještě nesedí tak jasný že někdo manipuloval
0:30:56	s tím skórem
0:31:00	todleto je nejčastější způsob jak je devadesát pět procent těch křečových soutěží ochráněno problém je
0:31:06	vtom že flash není něco co by se nedalo de kompilovat
0:31:10	to prostě
0:31:12	co ještě kompiluje ne úplně vpohodě já vyzkouším třeba tajidletu hru
0:31:17	když si zobrazím zdroje které stránky najdu si tady kde je ta hra
0:31:23	uložena
0:31:31	tak tady mám
0:31:32	přímej odkaz na tu hru použiju nějaký nástroj
0:31:37	na tu rekompilaci
0:31:48	a vlastně získáme
0:31:51	bezproblémů zdrojů bytekód toho flash kde bude vlastně krásně napsaných čeho vznikáte nádrž
0:32:04	tak už máme zdroj adsl eště
0:32:07	vyhledáme si
0:32:10	jejichž
0:32:20	krásně bysme tady potom viděli
0:32:22	že ten ještě nějaká m d pět k ze slova flash tři plus nějaké to
0:32:26	nastane skóre
0:32:28	a tím pádem to teďkon sme schopný zmanipulovat úplně stejně jako lišta ten vůbec není
0:32:34	protože my si řekneme chceme skóre milion tak vezmeme milion při dané slovo flash tři
0:32:42	přidáme k tomu ten milion plamene pětku
0:32:45	a vtom request u co odesíláme na ten server změníme nejenom skóre ale i ten
0:32:49	náš a server nemá možnost
0:32:51	jak poznat že vlastně tam došlo k nějaké manipulaci
0:32:55	takže to je nejčastější způsob jak jsou chráněny ty klešťové soutěže
0:33:01	pak a
0:33:03	já už to tedy pomalu začnu končit a
0:33:09	říkám ne všechno se povedlo ne všechno sme stihli výstava zradu vidím eště na tom
0:33:14	workshopů jaksi dost praxi všechno můžete vyzkoušet
0:33:18	a s cílem má této přednášky teda bylo poukázat na to že pokud pořadatelé soutěží
0:33:25	pořádali někdo z vás soutěž na internetu
0:33:28	a
0:33:29	měli ste to ošetřený proti všemu nebo to bylo něco jinýho jinej ty soutěže
0:33:34	jinýho
0:33:37	tak
0:33:38	právě že a on je strašnej problém že na tomletom si ta firma ten pořadatel
0:33:43	můžete rovnou docela vostudu
0:33:45	je tím že to nezvládne tu soutěž že najednou se tam začnou ukazovat takový nesmyslný
0:33:50	skóre prostě i je jasný že reálně možný nahrát tisíc bodů a tam mají soutěžící
0:33:55	milióny prostě
0:33:58	ale nebojte voni datový stejně pošlou protože oni nechtějí bejt a hlupáky že něco zvorali
0:34:07	nebo to většinou zadávají ty soutěže ještě je prostě externím firmám jako zařiďte nám soutěž
0:34:15	a samozřejmě ta externí firma nepřiznám jsme vám to zvorali
0:34:19	takže všichni se to snaží ututlat
0:34:21	když to jsou naprosto nesmyslný věci to skóre co tam získáte tak prostě jihu vám
0:34:27	pošlou a
0:34:27	ticho po pěšině
0:34:29	a
0:34:31	to bych vám pošlou pokud je to poctila firma jo stejně jako sou nepoctiví hráči
0:34:35	tak sou ji nepoctiví firmy a
0:34:38	vy třeba se dostanete i k tabulkám těch vítězů víte že ste tam prostě první
0:34:43	hodina napíšu nebyl ste první ho taky na
0:34:48	takže je to
0:34:50	ne vždy se dočkáte těch výher které vlastně z té soutěži
0:34:55	jsou nabízeny
0:34:57	no a co se teda teďka druhýho důvodů téhle přednášky tak asi je zřejmý že
0:35:04	normální lidi prostě ty webový soutěže ne vyhrávají když muž také neštěstím hodně
0:35:11	a my sme teďkon dorovnali ty šance
0:35:15	takže se ten když je vy máte šanci chci nějakou tu výhodu
0:35:22	tak jo tak já bych to teda ukončil tak jasná to pro vás bylo nějak
0:35:26	přínosný a děkuju vám za pozornost

Vyhackuj si motorku aneb internetové soutěže pod kontrolou hackerů

E112

Roman Kümmel (Moravia IT, a.s.)