Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


Facebook adalék

2009.12.06. 19:55 | buherator | 4 komment

Helyesbítés: a poszt készültekor még nem voltam Facebook felhasználó, így tévesen azt feltételeztem, hogy az apps.facebook.com domainen elérhető szolgáltatások is a közösségi oldal infrastruktúrájához tartoznak, miközben ezeken a helyeken valójában mindig külső szervereket…

Címkék: facebook sql injection xss honeypot

BIX.hu SQL injection

2009.11.03. 21:44 | buherator | 4 komment

Interpooler küldte az infót, hogy szépen lehet listázni a BIX.hu adminjának hash-ét. Mivel az infó amúgy is nyilvános, ezúttal kivételesen csak abban bízom, hogy van illetékes a közelben, aki olvassa a blogot :)

Címkék: bug sql injection az olvasó ír bix.hu

Sony Music - Frissítés

2009.10.18. 12:46 | buherator | 3 komment

 Ma reggel olvastam buksikutya levelét, miszerint éktelenkedik néhány csúnya biztonsági rés mindnyájunk kedvenc rootkitgyártója, a Sony Music magyar nyelvű weboldalán is. Mikor azonban ellenőriztem, miről is van szó, meglepve konstatálhattam, hogy török barátaink bizony…

Címkék: incidens sql injection sonymusic

Aliencomputers - Frissítve

2009.10.15. 15:37 | buherator | 15 komment

Még múlt héten kaptam sghctomától pár érdekességet a magyar netről. Megpróbáltam felvenni a kapcsolatot az Aliencomputers-szel is, sajnos sikertelenül... ... egy eleg ismert szamitogepbolt, toluk az ember azert minimum azt elvarna, hogy ne plaintext-ben legyenek tarolva a jelszavak...…

Címkék: bug sql injection aliencomputers

Kúszás a szögesdrót alatt

2009.10.05. 12:16 | buherator | 12 komment

Kicsit megkésve ugyan, de elérkezett a Hacktivity második Hack the Vendor játékáról szóló beszámoló ideje. A kihívást ezúttal a DNS Hungary által beüzemelt McAfee hálózati és hoszton futó behatolás-megelőző rendszerei jelentették. Mivel az ilyen rendszerek egyik célja, hogy…

Címkék: hacktivity sql injection hips ips mssql mcaffee hack the vendor nips

Ingyenmenet - Nem dodzsem!

2009.09.26. 13:08 | buherator | 39 komment

Ahogy ígértem, belenézünk kicsit a Hacktivtiy Hack the Vendor játékának megoldásába, mindenki okulására. Az első szemrevételezett feladat az ingyenmenet.hu klónozott oldalán történő minél több pont megszerzése volt. Hogy a szorgoskezű kattintgatók próbálkozásainak gátat…

Címkék: hacktivity drupal sql injection ingyenmenet hu

BKV Tours

2009.09.15. 07:51 | buherator | 2 komment

Csiszi küldte az elábbi képet a BKV Tours oldaláról: A szolgáltatót értesítettem, válasz egyelőre nem jött...

Címkék: sql injection az olvasó ír bkv tours

Webmail problémák

2009.08.23. 10:11 | buherator | 18 komment

A Hotmail ideiglenesen beszüntette a közvetlen képbeágyazási lehetőséget webes levelezőrendszerében, mivel egy Internet Explorerrel történő használat esetén előkerülő biztonsági problémát fedeztek fel a szolgáltatásban. Részleteket ugyan nem tudni, de a Coimputerworld…

Címkék: hotmail activex sql injection xss citromail

IQ teszt

2009.08.14. 15:00 | buherator | 2 komment

Ysombor említette a napokban, hogy mostanában gagyi IQ tesztekkel próbálják rávenni az egységsugarú netezőket, hogy eladják a lelküket valamelyik direktmarketinges bandának - mit eladják, még a kedves felhasználó fizethet azért, hogy az adataival kereskedjenek! Kitöltöd a tesztet,…

Címkék: móka átverés sql injection iq teszt

Újabb 40.000 fertőzött domain

2009.06.18. 15:39 | buherator | Szólj hozzá!

A Websense ThreatSeeker hálózata újabb tömeges SQL injection-t használó támadássorozatot észlelt a hónap elején. A Nine-Ball-nak keresztelt fertőzés kilenc szerveren keresztül irányítja a védtelen áldozatokat a feltört weboldalakról a végső, exploitokkal teletűzdelt állomás…

Címkék: incidens sql injection

Török támadás amerikai katonai szerverek ellen

2009.05.28. 23:07 | buherator | Szólj hozzá!

Az InformationWeek birtokába jutott információk szerint az év elején török támadók sikeres támadást mértek több, az Egyesült Államok hadseregének fennhatósága alá tartozó webkiszolgálóra. A feltehetően SQL injection technikával bevett hosztok látogatóit klímavédelmi…

Címkék: incidens sql injection us army m0sted

Pöce

2009.05.28. 20:42 | buherator | Szólj hozzá!

Twitteren már írtam, hogy a feléledt HackersBlogon megjelent némi információ a brit Orange és O2 szolgáltatókat érintő SQL injection lehetőségekről. Nos, úgy tűnik valakinek sikerült elrontani a játékát, jött ugyanis egy levél a Full-Disclosure listára, melyben a szerző…

Címkék: incidens sql injection o2 orage

DNS eltérítések Új-Zélandon

2009.04.22. 11:03 | buherator | Szólj hozzá!

Feltehetően muzulmán támadóknak sikerült behatolniuk egy új-zélandi domain szolgáltató, a domainz.net rendszerébe, ahol több nagy helyi domaint saját rendszereikre irányítottak át. Az áldozatok között van többek között a Microsoft MSN, MSDN, Hotmail és Live portáljai, valamint…

Címkék: incidens sql injection deface

Yahoo! SQL injection

2009.02.28. 09:45 | buherator | 11 komment

Unu megint alkotott. Bár úgy tűnik, a támadás nem ad lehetőséget közvetlenül érzékeny felhasználói adatok illetve céges információk kiszivárgására, egy ilyen jellegű kiskapu mindig egy öles lépéssel közelebb visz a rendszer "szíve" felé. A részletekkel…

Címkék: yahoo sql injection

Az F-Secure sem szekjúr

2009.02.14. 20:35 | buherator | Szólj hozzá!

ITCafé:A HackersBlog oldalán megjelent írás szerint az úgynevezett SQL Injection és Cross Site Scripting eljárások ellen védtelennek bizonyult a finn F-Secure egyik weblapja. A hackerek tájékoztatása szerint az F-Secure „nem szivárog”, vagyis érzékeny adatokhoz nem…

Címkék: incidens sql injection f secure

Hiba Kaspersky-ék weboldalán

2009.02.09. 10:41 | buherator | Szólj hozzá!

Egy unu nevű (feltehetően) román hacker súlyos biztonsági rést fedezett fel a biztonságtechnikában méltán híres Kaspersky Lab. egyik weboldalán, a problémát pedig blogjában publikálta. A mellékelt screenshotok szerint SQL injection típusú támadásról van szó, az…

Címkék: incidens kaspersky sql injection

Megjelent az IE folt

2008.12.18. 09:23 | buherator | 1 komment

Nagyjából 12 órája megjelent az Internet Explorer 0dayt javító folt a Microsoft gondozásában. Közben több mint 100.000 weboldalba injektálták kifejezetten erre a sebezhetőségre kihegyezett exploitot, így egyes véleményekkel ellentétben azokat a felhasználókat is veszély…

Címkék: patch internet explorer sql injection

MS SQL Server 2000/2005 memória felülírás

2008.12.10. 09:47 | buherator | Szólj hozzá!

A SEC Consult kutatói olyan hibát fedeztek fel a Microsoft SQL Server 2000 adatbáziskiszolgálóban, ami autentikált felhasználók számára (vagy egy sikeres SQL injectiont követően) operációs rendszertől függően kódfuttatást tesz lehetővé az érintett rendszereken az SQL Server…

Címkék: bug sql injection sql server 0day

Iskolapélda

2008.10.28. 08:30 | buherator | 14 komment

Egy csendes vasárnap délutánon éppen valami kellemes, békés, altató TV filmet kerestem, mikor megláttam egy nagyobb online DVD boltot reklámozó bannert. Már magam sem tudom miért, de úgy gondoltam, most az egyszer áldozok a marketing isten oltárán, és ellátogatok a hírdetett…

Címkék: bug incidens phpmyadmin sql injection

WAPZona.hu hacked

2008.10.20. 14:33 | buherator | 2 komment

Valami csúnya gonosz kártevő befertőzte a wapzona.hu-t, szóval aki mostanában arra járt, és nem jelzett a vírusvédelme, az jól teszi, ha alapos nagytakarításnak veti alá a számítógépét. A beszúrt kódot megcsodáljhatjátok az alábbi linken:…

Címkék: incidens sql injection wapzona

Odaszúrtak az Adobe-nak

2008.10.18. 17:51 | buherator | 3 komment

Valószínűleg az Asprox botnet pókocskáinak sikerült SQL injectionnel bevenni az Adobe két oldalát is. Az egyik érintett oldal az Adobe által 2006-ban felvásárolt domainjén Serious Magictalálható, a másik pedig az - eredetileg szintén a Serious Magic által fejlesztett - Vlog It!…

Címkék: adobe sql injection botnet sophos asprox

Hacktivity utómunkák

2008.09.23. 17:37 | buherator | 4 komment

A slidejaimat felraktam ide. A demo scripteket megtaláljátok a http://buhera.cwi.hu címen (A jelszó hacktivity, ha valaki hozzá szeretne férni a MySQL adatbázishoz). Az előadás után felmerült néhány kérdést igyekszem itt tisztázni: Az UPDATE-es subquery-s móka pl. ezzel a bemenettel…

Címkék: hacktivity sql injection

Sárga jelzés: tömeges SQL injection és Flash exploit!

2008.05.28. 11:23 | buherator | 2 komment

A Symantec tegnap sárgára emelte a ThreatCon szintet, miután egy új, egyes becslések szerint eddig 250.000 weboldalt érintő tömeges SQL injection támadás indult meg, amely egy eddig foltozatlan Flash hibát használ ki. A Flash természete miatt az exploit böngészőfüggetlen, IE-vel…

Címkék: kína flash sql injection 0day

Redmond is elkapta

2008.05.17. 17:03 | buherator | 5 komment

... az egyik feljövőben lévő ASP SQL injekt fertőzést. A Redmond - The Independent Voice of the Microsoft IT Community (A Microsoft IT közösségének független hangja), a Redmond Developer News és a Redmond Channel Partner Online oldalaiba is sikerült kínai támadóknak kártékony…

Címkék: microsoft incidens malware sql injection

Egyesült Fertőző Nemzetek

2008.04.23. 14:41 | buherator | 2 komment

Nagyjából egy fél éve érte deface támadás az Egyesült Nemzetek weboldalát. A támadók akkor egy SQL injection hibát kihasználva háborúellenes üzenetet helyeztek el a szervezet oldalain. Az incidenst követően az érintettek ahelyett, hogy betömték volna a tátongó lyukakat,…

Címkék: incidens sql injection

süti beállítások módosítása