Ganhe dinheiro com seu site, conheça a Vitrine Fácil Buscapé! ;)
Terça-Feira, 8 de Julho de 2008
Domingo, 6 de Julho de 2008
Sexta-Feira, 4 de Julho de 2008
Sexta-Feira, 4 de Julho de 2008
Quarta-Feira, 2 de Julho de 2008
Terça-Feira, 1 de Julho de 2008
Terça-Feira, 1 de Julho de 2008
Terça-Feira, 1 de Julho de 2008

Resumo
Bug no Orkut que permite deslogar seus amigos através de scrap, tornando impossível para eles receber ou a apagar o scrap com o bug.
Acompanhe o And After por Feed RSS
Existem pessoas que perdem o amigo mas não perdem a piada e eu sou uma dessas.
Se tu compartilha desse bom humor, aqui vai um bugzinho chato do Orkut que eu vi no Sykey.
Com a infeliz possibilidade de enviar código html nos scraps dos amigos (agora as bombas explodem e as flores tocam músicas, NÃO NÃO!) você pode implantar nos scraps alheios (ou nos seus) um código que chama a página de logout.
E aí o que acontece? Aparentemente nada, a pessoa apenas entra e um scrap seu com um espaço vazio, mas a sessão do orkut já foi desfeita. Ela não conseguirá apagar o scrap e o que é mais malvado ainda: ninguém conseguirá deixar scrap para ela.
Curioso? Aí está o código:
< embed src="http://www.orkut.com/GLogin.aspx?cmd=logout" >< /embed >
Mais uma vulnerabilidade que neste caso foi usado de forma "inocente" mas pode causar muito estrago se for melhor explorada por alguma mente maligna da internet.
Update
O Julio Lobo comentou como apagar o scrap caso você seja vítima ou ficou com pena do seu amigo que já está pensando em criar uma nova conta no Orkut:
1. Você deve entrar na página de recados onde está o scrap malicioso
2. Em outra janela ou aba do navegador você se loga novamente
3. Retorne para aquela primeira Aba ou Janela e clica em "apagar"
Valeu Julio!
Se você quer aprender mais vulnerabilidades de sistemas - e como se proteger - recomendo a leitura destes livros sobre o assunto.
Tags: bugs, orkut, vulnerabilidade, internet
Infectados pelo Vírus do Orkut - Finalmente aconteceu
Novo iGoogle - ainda em testes
Entrevista com Rodrigo Lacerda (responsável pelo Vírus do Orkut)
NÃO tem graça ¬¬'
tá, não sendo comigo e nem com ngm que eu queira mandar scrap *-)
* maldade *
espero MSM que nenhuma mente perversa tente se utilizar disso.
Valeu Julio!
Eu consegui apagar o scrap que havia enviado um tempo depois, não consegui descobrir qual foi a lógica, mas depois de algumas tentativas consegui apagar. O usuário que recebeu não conseguiu da forma "normal", mas tua dica é mais inteligente, recria a sessão ativando novamente as funções de quando está logado :D
Vou dar um update no post ;)
Interessante. não sou um expert em segurança mas, sem dúvida é uma brecha potencialmente perigosa.
Acredito que com a mesma linha de código que pelo que a gente pode ver executa uma url "automaticamente" também se pode executar alguma pagina remota com um script malicioso como um simples overflow de memoria ou coisas do tipo.
Alguem já pensou em alguma solução? Levando em conta que a tag "embed" é usada para os gadgets web que o pessoal usa para inserir players de musica em flash como o exemplo do mp3tube. o cancelamento do uso disto poderia tirar muitos destes brinquedinhos da jogada e deixar muitos usuários aborrecidos pelo regresso.
Tem mais duas formas de apagar o scrap:
1- AdBlock
2- Desabilitar Flash Player
Ainda bem que 99% dos users do Orkut não conhecem isso. ;D
Ah, olhando o comentário do Rogério, lembrei que eu fiz um tutorial ensinando a esconder arquivos em imagens:
http://www.sykey.net/2007/02/03/tutorial-escondendo-arquivos-em-imagens/
[]'s
Interessante isso aí.
É impressionante que, pode passar o tempo, você começa a achar que acabaram-se os bugs no orkut, e por fim, acham algo novo. A equipe do google realmente deveria pensar seriamente nesse tipo de problema antes de lançar novidades como o html nos scraps
não funciona mais esse bug, o orkut tirou.
rsrs.
que chaato, quando descobrirem outro assim me avisa pra mim fica previnido
abraçooos, mto legal esse site ^^
Quem foi que disse que não está mais funcionando??
Acessem a página de recados dos meus Primos:
http://www.orkut.com/Scrapbook.aspx?uid=16920935882457889150
http://www.orkut.com/Scrapbook.aspx?uid=17582824217369839751
Depois digam qual foi o Resultado.
POW AINDA TA FUNFANDO SIM!
MUITO MASSA ISSO!
AKSPLAPKSLPSLAPKSLPAKSLKAS
SACANEANDO MEUS AMIGOS =D ahuahuahauhauahuah
eu fui testar faznedo isso com uma amiga 1
mas não estou conseguindo apagar nem com essas dicas ai de cima !
me ajuuda !
Oi Nádia, desculpa a demora na resposta, a técnica para apagar o scrap funciona sim...
1. Abra duas abas no navegador
2. Na primeira aba, entre no Orkut e vá para a página do Scrap malvado
3. Na segunda aba, entre no Orkut (faça login)
4. Volte para a primeira aba que ainda deve estar na página do Scrap
5. Clique no Apagar
Tenta denovo, tem que funcionar! ;)
Existe outra maneira de apagar este recado indesejável.
Existe um plugin para o Mozilla Firefox chamado Flashblock, basta procurar no google.
O código <embed src="http://www.orkut.com/GLogin.aspx?cmd=logout"> envia um flash para a vítima, o Flashblock bloqueia a abertura de TODOS os arquivos de flash, aparecendo um 'Play' no lugar. Ao clicar no play o flash se executa normalmente.
Basta baixar o plugin, entrar na sua página de recados e apagar o recado.
Espero ter ajudado :)
Valeu Felipe!
O Flashblock é uma boa opção de segurança - e paraevitar desperdício de banda para os mais impacientes. hehe
Alinne, o flashblock é para Firefox mas existem versões para outros browsers.
O link para baixar outras versões é http://flashblock.mozdev.org/installation2.html
Muito obrigada, Guilherme!!!!!
mas eu acabei instalando o firefox! consegui me livrar do scrap!!!
valeu mesmo!
bjao
De nada :D
Viu como há males que vem para o bem?
Mais uma usuária feliz com o Firefox!
Testa o Firefox por mais um tempo, você vai ver que ele é muito mais estável e segundo testes feito por meu amigo Pablo, mais veloz que o Internet Explorer! ;)
Que bom que conseguiu se livrar do scrap maligno, hehe :P
(não sou remunerado pela fundação mozilla para fazer isso)
Valter, o orkut não permite mais a exploração deste bug, agora quando você posta este embed ele é interpretado como texto e não mais como script.
Para sacanear os amigos você tem que esperar por um novo bug do Orkut agor... hehe
Gostei e valeu pela diga!
Então dê uma dica pra me, quero ver as fotos e enviar recado para os membro do orkut não estao adicionado como amigo ou qualquer coisa assim, so que orkut bloqueia isso como faço pra enviar.
Valeu e um abraço.
Oi ! .. tou com este bug mais naum tenho nenhum tipo de scrap ! e naum entendi ainda como tirar ... mas estou levando. um amigo meu esta com o mesmo problema de muitos naum consegue faazer nada sem o orkut deslogar, gostaria de mais uma ajuda se puderem porfavor !
Obrigado, abraço.
Digamos .. e so mandar o link e se o scrap fiko so com um espaço ( parecendo que ta só com um espaço ) jah está bugada a pessoa ?
poderiam detalhar melhor como desbugar ?
valeu abraço.
Aee Galera .. muito obrigado !
Li com atenção e conseguir exclui o scrap malicioso .. gostaria de ver mais coisas sobre esses bugs de orkuts se puderem estar me mandando um e-mail eu agradeso !
Valeu Obrigado
Valeu pela ajuda!
um amigo meu meu me enviou o tal recado do mal e não sabia como apaga-lo.
Teu post foi muito util, valeu!
Marcos ssa sei que estou atrasado mas logo sai a dica de como ver scraps e fotos bloqueado com a nova ferramenta do Orkut, desculpa pelo atraso. Para enviar scrap sem ser amigo não sei se é possível, mas ler é sim.
Rone, é isso mesmo. O scrap deixa um espaço vazio (que é onde o código está escondido no Embed) e aquela página já está bugada, quem entrar desloga.
Philipe que bom que conseguiu! Fica o que falei pro Marcos, estou escrevendo a dica de como bisbilhotar as pessoas que usam a ferramenta de privacidade no Orkut.
Ceza já agradeci lá no snibits e aqui vai denovo, valeu pelo link e que bom que ajudou! :)
po
nao consigo tira esse madito bug do meu orkut
minha paginas de recados num da nem pra clik dps q abre
pq aperece akilo q to deslogada
e num da pra clik fora!
como q eu faço pra tira isso?
ñ to conseguindo
ja baixei o plug-in
e para nauqle parte
som q nao da proa apaga os scrpas
e dpois muda de pagina
aparecendo
The page you're accessing no longer exists or you mistyped the URL.
Pessoal...
O que deu no meu orkut é Javascript..
Não dá pra apagar por esse esquema que vocês disseram, porque aparece uma mensagem e quando dá OK vai automaticamenta pra página do Orkut inicial...
E quando eu desabilito a opção do firefox "permitir javascript", eu consigo ver minha página normalmente... porém, não consigo apagar o scrap, pq pra apagar precisa estar com o Javascript habilitado..
Alguém pode me ajudar?
bem gente... eu tentei fazer de tudo mais num dei certo...
ai me ocorreu a ideia... deixar um scrap para alguem... e pedir para ele ta mandar o maior numero de scraps possiveis... assim o scrap maligno fica em outra pagina... dando para você acessar a sua ^_^
espero ter ajudado
guilherme parceiro, taá dificiL vey ..
o e=meu orkut toda vez qe entro na pagina de scraps, nem abre os scraps, só aparece dois e ao mesmo tempo jaá aparece um quadro dizendo VC FOI DESLOGADO ¬¬'
ajuda aê vey, blziinhaáh ..
DEUS te abençoe (y)'
Pessoa, o Orkut sofreu um ataque através desse mesmo bug. O esperado aconteceu, to escrevendo como se livrar disso...
muita calma nessa hora, até agora não achei nada muito malicioso no script. Mas todo mundo vai parar na comunidade "Vírus do Orkut"... haha
Infectados pelo Vírus do Orkut - Finalmente aconteceu
É isso que está acontecendo, relaxem e aproveitem um dia sem Orkut gente.
Ia testar com minha irmã, mas uso o orkut_fixes, ai nem rola. ;~
Ele detecta. =}
Corrigiram ??? Ah...logo agora que eu ia me divertir...
Não tem nenhuma outra parecida ????
Oi gente....
O meu Orkut foi invadido por um virus diferente eu acho , mas ele tb desloga e na deixa apagar os recados...
Eu queria uma ajudinha, pq tentei de todas as formas tirar e nao deu....
Entrem pra ver:
Pow quero ajuda pq naum consigo fazer isso q ta inscrito lá em cima pow quem pode me explicar direito !!
Bruno, é só copiar o código e colar no scrap. Testei agora e continua funcionando este bug...
Ah, e se aparecer o código no scrap para resolver é só tirar o espaço que tem depois do <
então vai ficar: "<embed ..." e o resto exatamente como está no texto aí em cima.
UM jeito muto masis facil!!
acessem!!
entrem na sua conta e apaguem o virus...
naum eh virus o site eu fiz isso e deu certo...