Potente generatore di password indecifrabili

Non è la prima volta che vedo sulla bacheca di Facebook qualche profilo completamente devastato dal solito burlone, loggato all’insaputa del proprietario… ma accidenti è normale poichè la maggior parte delle persone sceglie password talmente banali che persino Salvatore (ebbene sì proprio quello) saprebbe azzeccarle!

E siccome password come “123 asd 123 asd” sono purtroppo molto frequenti, sarebbe una buona idea rivedere le credenziali di tutti i propri account usando il NOSTRO eccezionale Generatore di Passphrase! che da ora in poi andrà in aiuto a quei disgraziati che per pigrizia metterebbero persino il nome della propria email come password.

Ecco l’anteprima del nostro bel Passphrase Generator:

Passphrase Generator - Reyboz Blog

Ah! e se possiedi anche tu un blog o un sito internet, perchè non ci aiuti a fare piazza pulita di password banali, fornendo anche tu sulla tua piattaforma un Passphrase Generator? Basta seplicemente inserire questo codice da qualche parte all’interno del tuo sito e comparirà esattamente dove tu lo inserirai! Prova!

 

<iframe src='http://password.reyboz.it' scrolling='no' frameborder='0' style='border:none; overflow:hidden; width:200px;height:230px;' allowTransparency='true'></iframe>

Come funziona

Il NOSTRO Passphrase Generator è realizzato con il linguaggio di programmazione lato server PHP, che genera una password molto complessa (appunto non più password ma passphrase) formata da un cheeseburger di caratteri alti, cifre, caratteri bassi e caratteri speciali. Più precisamene in quest’ordine:

A..Z  + 0..9 + a..z + %.. + a..z + 0..9 + A..Z

Scegliendo l’opzione Normale si ordinerà al generatore di produrre una passphrase di 8 caratteri ma soltanto composta da lettere e numeri, mentre selezionando Impossibile e Folle, reciprocamente di 15 e 40 caratteri, si sfornerà una mega password completa di ogni sorta di carattere, sparati consumando all’osso la funzione random!

Dita spaziali o abile trucco?

Esiste uno Speedtest online per contare il numero di parole che riesci a scrivere sulla tastiera in un minuto e si chiama: 10 fast fingers.com.

Nella media una persona si aspetterebbe 70-90 caratteri al minuto e qualche errorino qua e là…ma anche con tutta la buona volontà del mondo, questo risultato citato in basso come diavolo può essere umano?

Immagine del Test eseguito dallo staff

E siccome non è un lavoretto di photoshop la domanda è come ci siamo riusciti? Il risultato è un semplice stratagemma: sbirciare nei codici della pagina, scovare qualche variabile javascript, tentare di ipotizzare il suo uso nell’applicazione, modificarla (prevedendo il risultato), e iniettare il tutto nella pagina tramite la barra degli indirizzi. Cioè…

  • Visualizzare la pagina
  • Cliccare Tasto destro -> Html (o visualizza sorgente)
  • Cercare qualcosa che salti all’occhio…(var sekunden)
  • Ipotizzare il suo uso (saranno mica i secondi?)
  • Modificare la variabile con un codice da far partire nella barra degli indirizzi (che si trova con F6):

javascript:sekunden=-1;alert('Tempo aumentato');

Il codice agisce sulla variabile sekunden che rappresenta il conto alla rovescia dell’applicazione, facendolo tornare da capo. Avrete così un metodo per avere un tempo illlimitato per scrivere tutte le parole che vogliamo e superare tutti gli altri con tranquillita estrema…

Provate inoltre questo script più elaborato copiandolo ed incollandolo nella barra degli indirizzi:

javascript: x='Tempo aumentato'; h='<button%20onclick="javascript:sekunden=-40;alert(x);">'; j='<h1><em>Incrementa%20il%20Contatore!</h1></em></button>'; o=h+j; document.getElementById('info').innerHTML=o; alert('Modifica della pagina HTML. Usa il nuovo pulsante nella pagina.');

Buona continuazione.

Messaggi di posta con autodistruzione

Il servizio che abbiamo scoperto navigando per caso tra le pagine del web non sarà forse di effetto quanto i messaggi a detonazione temporizzata di James Bond, ma si avvicina di molto alle caratteristiche di un tools per messaggi anonimi.

Curioso quanto funzionale è il Destructing Message.com ideato da un ragazzo di Seattol nel 2006 probabilmente tramite un piccolo script in linguaggio Ajax…un linguaggio complesso.

Andando al sito di Destructingmessage.com, vi troverete davanti una semplice casella di testo dove potrete comporre il vostro messaggio anonimo, selezionando il tempo di attesa prima dell’autodistruzione, e il metodo di invio del messaggio: se tramite un comodo link, o tramite posta elettronica.

Screenshot di Destructing Message offerto dal Reyboz Blog

Caratteristiche:

Il servizio non fa che copiare il vostro messaggio direttamente all’interno di una nuova pagina web creata lì lì sul momento in automatico.

Questo significa che se voi scriverete…

<h1>Esempio titolo 1...</h1>

Verrà visualizzato secondo le regole del linguaggio HTML e cioè:

Esempio titolo 1…

In quanto la formattazione del testo è in linguaggio HTML.

Il divertente non sta solo nella possibilità di creare un messaggio complesso sfruttando gli effetti sui caratteri dell’HTML , ma sta soprattutto nella possibilità di creare degli script javascript.

Per chi non ci avesse capito nulla ecco alcuni esempi di un probabile messaggio:

<br><br>
<h1>Salve, ecco un esempio di utilizzo del linguaggio Html.</h1>
<center>
<button onclick="javascript:alert('Ma anche di utilizzo Javascript.');">
<h1>
<br>
Clicca qui!
<br>
</h1>
</button>
<br><br>
</center>

Il messaggio apparirà con un grosso pulsante al centro, dove cliccandolo si accederà ad uno script Js creato da voi.
Ma lo script può partire ovviamente anche all’apertura della pagina usando:

<script type="text/javascript">
alert('Esempio Js automatico.');
document.write('<br><br><h1>');
document.write('<a href="javascript:self.close();">Torna indietro</a>!');
document.write('</h1><hr><br><br>');
</script>
</center>

Probabilmente questo distruggerà la formattazione iniziale della pagina in quanto non lascia il tempo al browser di caricarla per bene. Ma state tranquilli questo non significa che avete distrutto il sito…

Buon divertimento e buona navigazione.

Comandare sul web: injection javascript

Injection javascript Reyboz Blog

Come si può “comandare” sul web? Come possono persone normali avere accesso a parti segrete di siti poco controllati, o di incrementare punteggi di browser-game in poche mosse?
Lo capiremo partendo da molto lontando attraverso questa breve guida dedicata alle injection-javascript.

Una estrazione (extraction) javascript è un metodo di controllo del codice di un sito tramite l’estrazione diretta delle variabili, via indirizzo ipertestuale.
Significa che per controllare una variabile di un sito web (un punteggio di un gioco online o la password di un utente loggato ad esempio) basta conoscere il nome della variabile che lo custodisce, e richiamare il suo valore inserendo nella barra degli indirizzi un comando di richiamo come javascrpt:alert(nomevariabile);
Questo tipo di estrazione si è però evoluto in forme molto complesse di iniezione chiamate injection javascript, delle quali approfondiremo ora.
Le chiamano injection javascript perchè con esse si può riuscire a modificare parte di una pagina web durante la propria sessione di navigazione, e quindi riuscire ad apportare modifiche consistenti ad un qualunque sito o gioco online, esclusivamente utilizzando codici, iniettati nella pagina, tramite la barra degli indirizzi, o tramite un segnalibro web.
Quello che faremo ora sarà prendere di mira alcuni siti molto famosi e sostituire un oggetto della pagina con del testo a nostra scelta.
Premettiamo che questo tipo di modifica non è reato: una injection javascript non è infatti una distruzione della pagina ma solo una modifica parziale lato-utente del listato javascript, del tutto ripristinabile ricaricando la pagina.
Ma insomma! Partiamo!

Step one

Prima di tutto, assicuriamoci di usare Firefox e non Internet Explorer (poichè I.E. si blocca con le injection javascript)
Ottenuto Firefox creiamo un segnalibro che ci servirà da “iniettore”

  • Digitiamo CTRL+D
  • Selezioniamo “Barra dei segnalibri” come cartella
  • Salviamo il segnalibro

Step two

A questo punto comparirà il segnalibro della presente pagina nella vostra barra dei segnalibri. Quindi:

  • Selezioniamo tutto il seguente codice e copiamolo (compresa la scritta “javascript:”):

javascript:
x="Questo e' un esempio di Injection Javascript - Reyboz Blog";
alert('Codice da iniettare:nn'+x);
x="<h1>"+x+"</h1>";
document.getElementById('previewPan_w1').innerHTML=x;
alert('Injection eseguita.');

  • Selezioniamo il segnalibro precedente con un click destro
  • Selezioniamo Proprietà
  • Incolliamo il precedente codice nello spazio dedicato all’indirizzo del segnalibro.

Ora avremo nella barra degli indirizzi il segnalibro che conterrà come indirizzo lo script: servirà ora per iniettare una scritta nel famoso motore di ricerca Blackr.

Dritti al cuore di blackr

Bando alle ciance:

  • Dirigiamoci sul Blackr
  • Lanciamo il segnalibro con un click su di esso
  • Clicchiamo su Ok ai 2 messaggi
  • Osserviamo

Se avete eseguito tutti i procedimenti Blackr apparirà con una scritta nella parte destra.

Ma noi non ci siamo fermati:

Dritti al cuore di facebook

  • Accedete al vostro Facebook
  • Rieseguiamo lo Step One
  • Incolliamo nel segnalibro tutto il seguente codice al posto dell’indirizzo:

javascript:
x=prompt('Inserisci il tuo nome di Facebook: (serve)','qui');
x="<h1>Mi chiamo -"+x+"- Salve! </h1>";
document.getElementById('navSearch').innerHTML=x;
alert('Injection eseguita.');

  • Salviamo il segnalibro
  • Clicchiamo sul segnalibro
  • Osserviamo

Se tutto è andato bene comparirà nella parte del titolo del vostro profilo di facebook una piccola modifica testuale.
Tranquilli, tutto torna normale digitando il classico F5.

Dritti al cuore dei giochi online

Scaricheremo un piccolo gioco online della Mr. Webmaster intitolato Chi vuol essere milionario. Dunque scarichiamolo, estraiamolo sul nostro computer e iniziamo subito a giocare.
Noterete che il gioco funziona perfettamente ma perchè non barare un po’?

  • Aprite il gioco
  • Ripetete lo Step One
  • Incolliamo nel segnalibro tutto il seguente codice al posto dell’indirizzo:

javascript:
function prossimadomanda(){
document.gioco.giustaa.value="giusta";}
alert('Preparazione alla injection in corso.');
prossimadomanda();
alert("Script abortito, la risposta sarà sempre la numero:nn-A.")
;

  • Salviamo il segnalibro
  • Clicchiamo sul segnalibro
  • Osserviamo

Come potete immaginare è stato iniettato un codice che modifica questo semplice gioco rendendo le risposte tutte uguali.
La nostra piccola lezione sulle injection javascript è ormai giunta al termine, vi auguriamo che tutto sia stato comprensibile e che vi siate divertiti scoprendo i segreti celati dietro alla modifica dei siti web. Vorremo precisare che tutto questo non deve apparire come un articolo “terrificante”,  questi utilizzi javascript non sono paragonabili a pirateria informatica e nè lo saranno mai, poichè il web deve essere uno strumento comune di insegnamento e non un segreto privato.
Grazie per la lettura.

Motore di ricerca Reyboz Search

Il 3 ottobre 2010 era arrivato online il “motore di ricerca” Reyboz search, che utilizzava come spunto Neroogle, cioè era un semplice launchpad di Google ma a sfondo nero.

Google offre a tutti gli utenti registrati di creare il proprio motore di ricerca personalizzato, e avevamo sfruttato ciò finchè non ce l’hanno inspiegabilmente rimosso.

Il Reyboz Search permetteva di rilassare gli occhi anche dopo aver inserito la query di ricerca grazie al layout in scale di grigi, mentre ora lo è soltanto nella schermata iniziale.

E va beh…

Semplice pesce d’Aprile con Google

Soltanto un piccolissimo scherzo creato per un pesce d’aprile, realizzato scopiazzando Google e apportando un semplicissimo script in Javascript ad una pagina.

Immagine di errore di Google (totalmente inventato) creato utilizzando Javascript - Reyboz Blog

Link diretto: Google scherzo 1.0

Principalmente lo script si basa sull’effettuare una finestra Alert ogni volta che avviene l’evento ‘Clic’, niente di complicato:

ONCLICK="javascript:alert('Errore');"

E’ possibile trascinare il link dello scherzo sul simbolo homepage (Icona tasto homepage - Reyboz Blog) del vostro browser: in modo che il prossimo che accederà ad internet si cuccherà questo semplice scherzo.