#j2team_question
Chào mọi người, là em đây :D
Unikey là phần mềm hỗ trợ gõ tiếng Việt mà ai cũng biết, này em tải trên [.]org nên an tâm là an toàn :D
mà em có một thắc mắc: làm thía nào để khởi động UniKey cùng Windows với quyền Admin ạ? Tất nhiên là bác #Long đã có sẵn chức năng này rồi nhưng em lại muốn nó chạy với quyền admin cơ >< em đã thử với reg nhưng chắc chưa đúng chỗ nên chưa được như ý muốn. Giờ phải làm sao đây ạ, à em vẫn muốn giữ lại UAC :v
hay là do yêu cầu của em quá đáng quá
#j2team_discussion
#j2team_tutorial
#j2team_suggest
Bài viết này mình gắn 3 cái hashtag, cũng là 3 nội dung chính muốn viết.
1. Thảo luận về site loginandsee của 1 mod
- Hôm nay lướt fb thấy bài đăng của mod #Long: https://goo.gl/mDctGa
Điều đáng nói là site yêu cầu nhập email và password facebook trực tiếp để login.
- Mình cũng như nhiều bạn đã góp ý thẳng thắn mang tính tích cực, một trong số đó là: "Có thể do mod đảm bảo tính riêng tư tài khoản, nhưng không ai đảm bảo site đó không thể bị hack và leak thông tin người dùng",...
=> Mình đã thử dùng một vài công cụ đơn giản để kiểm tra, và kết quả thật bất ngờ! Site lưu access token của người dùng ở dạng plain text, đã thử test đọc tn như hình dưới (thành thật xin lỗi bạn đã "bị" mình đọc tin nhắn)
Xem thêm về access token:
https://developers.facebook.com/docs/facebook-login/access-tokens/
2. tutorial - tôi đã lấy access token của những người đã login thành công vào loginandsee như thế nào? (dành cho ai có hứng thú)
- Thực ra để lấy được access token từ loginandsee cực kỳ đơn giản, chỉ 2-3 bước với 1 công cụ rất phổ biến là nmap
- Đầu tiên, scan http-enum bằng nmap: nmap --script http-enum.nse loginandsee.xyz (ảnh 2) => show được các directory trên web server
- Và sau một lúc mầy mò (hoặc làm ntn thì tự nghĩ nhé), mình thấy có một thư mục tên: "sessions" (ảnh 3)
Oh! Trong này có nhiều thứ "hay" quá! :)
Mở thử 1-2 cái... Bem! Một chuỗi access token của fb hiện lên!(ảnh 4)
- Giờ mà còn không biết làm gì nữa thì tôi cũng chịu.... :(
3. Đề nghị:
- BQT nên xem xét lại chất lượng nội dung bài viết.
- Nên kiểm tra tình bảo mật nghiêm ngặt trước khi đưa cho member dùng đối với bất cứ app nào dù nhỏ hay lớn. Nhất là đối với một trong những cộng đồng nổi tiếng nhất VN!
- Người chia sẻ xóa bài chia sẻ site loginandsee cũng như xóa tất cả dữ liệu liên quan đến người dùng trên web server đó.
**LỜI KHUYÊN DÀNH CHO NHỮNG NGƯỜI ĐÃ LOGIN****
- Xóa tất cả phiên làm việc hiện tại (Trong phần settings)
- Tốt nhất là đổi mật khẩu ngay lập tức, bật 2FA!