Falha de segurança no site Paparazzo

Então, mais uma "falha" que na realidade nem sei se vale a pena colocar aqui no blog porque as mulheres do paparazzo, bá.. hahahaSempre lembrando que eu só estou apontando o que qualquer pessoa que ler o código fonte do site irá descobrir.
Vamos lá.
01 - Vá para a página do google e digite: paparazzo (http://www.paparazzo.com.br/)
02 - Note que quando você entra na página inicial o link é http://ego.globo.com/......etc
(Esse link é que você vai utilizar para ver as fotos.)

03 - Procure alguma garota e clique nela. Eu escolhi a Milena Toscano (pq estava ali mesmo). Irá abrir uma nova janela com ela em destaque. Clique novamente na foto e outra janela ira se abrir. (ufa! Quanta propaganda...)
Nessa janela você pode notar que só a página 06 é para assinantes. Na parte de cima onde esta o logo do paparazzo é que você irá ver o código fonte. (clique com o botão direito do mouse -> Exibir código fonte)

04 - Na janela do código fonte de um Control + F e procure xml Você irá encontrar essa parte do código:

var urlXML ='/Portal/paparazzo/cda/xml/glb_ppz_xml_galeria/0,,52455-52456-52457-52458-52459-5246052455,00.html';

Copie sem as aspas e cole após o link http://ego.globo.com/

 Ficando exatamente assim:http://ego.globo.com/Portal/paparazzo/cda/xml/glb_ppz_xml_galeria/0,,52455-52456-52457-52458-52459-5246052455,00.html


 Abra uma nova janela do seu navegador e cole o link acima.
Irá abrir uma nova janela com linguagem xml e é aí que estão as fotos do ensaio e consequentemente as fotos que são limitadas a quem não possue o login e senha estão no final do código.
05 -Agora copie /PPZ/foto/0,,12041505,00.jpg (todas as fotos estão na parte esquerda do código).
06- Junte com o link: http://ego.globo.com/PPZ/foto/0,,12041505,00.jpg

Done! Todas as fotos podem ser salvas no seu PC.
E aí, alguém me pergunta: Não era mas fácil pegar uma senha da globo.com? - Com certeza é. Mas eu só estou apontado uma "falha" do site.
Até!

Postagens mais visitadas deste blog

Boa Sorte!

inurl:usuarios.mdb inurl:users.mdb inurl:site.ini inurlassword.mdb inurlrders.log inurl:shopping.mdb inurl:cart/cart.asp inurl:/productcart inurl:vti_inf.html inurl:service.pwd inurl:users.pwd inurl:authors.pwd inurl:administrators.pwd inurl:shtml.dll inurl:shtml.exe inurl:fpcount.exe inurl:default.asp inurl:showcode.asp inurl:sendmail.cfm inurl:getFile.cfm inurl:imagemap.exe inurl:test.bat inurl:msadcs.dll inurl:htimage.exe inurl:counter.exe inurl:browser.inc inurl:hello.bat inurlasswd filetype:txt inurl:admin filetype:db inurl:iisadmin inurl:"auth_user_file.txt" inurl:"Admin_files" inurl:"wwwroot/*."allinurl:/i-shoppro shodbtest.asp allinurl: comersus_viewitem.asp allinurl:mdbinurl:usuarios.mdb inurl:users.mdb inurl:site.ini inurlassword.mdb inurlrders.log/cgi-bin/i-shop/admin/store.log /cgi-bin/i-shoppro/admin/store.log/cgi-bin/DCShop/Orders/orders.txt /WebShop/logs/cc.txt /WebShop/templates/cc.txt /cgi-bin/st
Leia mais

SCANNER - INURLBR - SCANNER - INURL

SCANNER - INURLBR =============== >Advanced search in search engines, enables analysis provided to exploit GET / POST capturing emails & urls, with an internal custom validation junction for each target / url found. ``` +-----------------------------------------------------------------------------+ | [!] Legal disclaimer: Usage of INURLBR for attacking targets without prior | | mutual consent is illegal. | | It is the end user's responsibility to obey all applicable local, state and| | federal laws. | | Developers assume no liability and are not responsible for any misuse or | | damage caused by this program | +-----------------------------------------------------------------------------+ ``` ``` [+] AUTOR: Cleiton Pinheiro / Nick: googleINURL [+] EMAIL: inurlbr@gmail.c
Leia mais