Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


Karaktercsempészet

2013.09.12. 13:37 | buherator | Szólj hozzá!

Webes projektek során egyre gyakrabban fordul elő, hogy bár a tesztelt alkalmazás megvalósít valamiféle bemeneti szűrést, az adatbázis segít kikerülni számunkra ezeket a megkötéseket.  SQL Smugglingról korábban már írtam (bár ideje lenne frissíteni azt a posztot...),…

Címkék: sql injection xss sql smuggling nsmuggler

Szürkekalapos jelentés - 2012. év vége

2012.12.31. 14:22 | buherator | Szólj hozzá!

Az év második felében kevésbé voltatok aktívak, így az utolsó két negyedév eredményeit így egyben közlöm. 9 bejelentésből az érintett weboldalak üzemeltetői 3 4 esetben reagáltak, egy esetben pedig a CERT vette kezébe az ügyeket. Ezúton is köszönöm kispaci, Dávid, zozi56,…

Címkék: bug sql injection az olvasó ír directory listing

Adobe breach

2012.11.15. 13:09 | _2501 | Szólj hozzá!

Most az Adobe egyik szervere esett áldozatul egy SQL injekt támadásnak, a felelősséget egy bizonyos ViruS_HimA vállalta magára egy pastebin üzenetben, november 13-án. Állítása szerint az adatbázis dump 150,000 email címet, md5 hashelt jelszót, és egyéb felhasználói adatokat…

Címkék: fórum adobe sql injection breach adobe connect

Egy "1-day" sérülékenység elemzése - Oracle Text (CVE-2012-3132)

2012.09.10. 09:26 | buherator | 1 komment

Olyan anyagot kaptam Bob Putton-tól, hogy a tíz ujjamat megnyaltam utána: részletes elemzés a David Litchfield által az idei BlackHat-en bemutatott, majd nem rég az Oracle által javított jogosultságkiterjesztésre alkalmas sérülékenységről. Bár mostanában hangos vita folyik a még…

Címkék: sql injection oracle az olvasó ír 1day

Hírek - 2012/22. hét

2012.06.04. 22:21 | buherator | 8 komment

Az elmúlt hetet a sKyWIper/Flamer uralta, a mai microsoftos bejelentés után pedig szinte követhetetlenné vált az információzuhatag. Remélem össze tudok hozni egy összefoglaló posztot holnap. IT biztonsági témákban mozgóknak egyébként szinte kötelező a Twitter használata,…

Címkék: voip hírek bukta incidens cosmo sql injection heves megye warner brothers social engineering swaggsec china telecom ugnazi bo zhang whmcs

Hírek - 2012/18. hét

2012.05.06. 23:46 | buherator | Szólj hozzá!

The Unknowns Új "hacker csoport" tűnt fel a horizonton, a The Unknowns sikeresen bejutott egyes NASA-hoz, az amerikai hadsereghez, az Európai Űrhivatalhoz, a thai haditengerészethez, a Harvard egetemhez, a Renault-hoz, valamint a francia és bahreini védelmi minisztériumokhoz tartozó…

Címkék: microsoft apple patch incidens nasa renault vmware os x sql injection google chrome the unknowns ms12-020 mapp filevault harvardd european space agency Hangzhou DPTech john mcafee

Hírek - 2012/3. hét

2012.01.22. 14:20 | buherator | 1 komment

Zappos - 24 millió ügyfélrekordA ruházati cikkek kereskedelmével foglalkozó Zappos.com kentucky-i adatközpontján keresztül ismeretlenek 24 millió felhasználó személyes adataihoz férhettek hozzá. A támadók hozzájuthattak nevekhez, e-mail címekhez, számlázási és szállítási…

Címkék: hírek facebook izrael incidens nasa t mobile sql injection symantec anonymous megaupload szaud arábia iceman koobface zappos dreamhost teamp0ison xbox.com butyka róbert

SQL injection tunneling

2012.01.20. 15:00 | buherator | 3 komment

 A Niobium Attack Research volt olyan kedves, és megosztott velem (és veletek, vagyis velünk ;) egy érdekes ötletet a vak SQL injection támadások kiterjesztésére, a vakság "meggyógyítására". Az alább olvasható leírás az ő leírásuk általam megszerkesztett…

Címkék: sql injection az olvasó ír sql injection tunneling niobium attack research

Q4 jelentés (kis ráhagyással)

2011.12.20. 10:00 | buherator | 1 komment

Mint azt korábban már említettem, kicsit rendbeszedtem a kedves olvasóktól érkező hibajeletéseket, így most, az év vége közeledtével tudok pár (remélhetőleg) érdekes számmal szolgálni: Augusztus vége óta 17 sebezhetőség jelentésében segédkeztem, ezek közül 9-re érkezett…

Címkék: sql injection buherablog tinymce az olvasó ír

Országos Tudományos Diákköri Tanács

2011.11.01. 18:04 | buherator | 1 komment

Sajnos most egy szkriptsuttyó volt a gyorsabb :( Zoli levele: A www.otdt.hu kezdőlapján már szembetűnik egy deface, viszont kb fél 2 mp próbálkozással sikerült megtalálni a www.otdt.hu/admin felületet, ahol egy hihetetlen egyszerű sql injection hibával be lehet lépni. Gondoltam…

Címkék: incidens sql injection deface otdt otdt.hu

A Sony megint kapott egyet

2011.06.03. 12:19 | buherator | 9 komment

Egy ideje elég szórakoztató jelenséggé vált Twitteren a LulzSec "csoport", akik az X-Factor jelentkezőinek adatainak publikálása után most a Sony-t vették célba. El is esett (két másik kevésbé jelentős helyi oldal mellett) a sonypictures.com, ahonnan több mint 1 millió…

Címkék: sony incidens sql injection

Újrázás

2011.05.22. 23:04 | buherator | 1 komment

Tényleg nem lehet számon tartani a Sony incidenseket, a hétvégén lenyúltak kb. ezer dollár értékű kreditet a So-Netből, melynek következtében a cég felfüggesztette a virtuális pontok kereskedelmét. Emellett kikerült egy SQL injectionnel megszerzett adatbázis is a Sony BMG görög…

Címkék: sony incidens sql injection comodo so net

Barracuda fail

2011.04.11. 21:59 | buherator | 3 komment

A támadóknak kint kell maradniuk: a Barracuda Web Application Firewall önállóan teljes védelmet nyújt weboldalainak és web alkalmazásainak. Behatolóknak nem ad esélyt, a lehetséges protokol vagy alkalmazási gyenge pontokon nem autorizált hozzáférés ellen, adatlopás ellen, Denial of…

Címkék: barracuda incidens sql injection

LizaMoon

2011.03.31. 21:56 | buherator | Szólj hozzá!

Csak egy rövid hír erejéig számolnék be arról, hogy eddig nagyjából 380.000 oldalt fertőzött be egy SQL injection féreg, amit a vonatkozott domain alapján LizaMoon névre kereszteltek. iTuneson is propagálják, vigyázzatok magatorkra!

Címkék: incidens worm sql injection

McAffee és MySQL

2011.03.27. 19:47 | buherator | 2 komment

Itt a tavasz, és engem megnyugvással tölt el, hogy vannak még páran rajtam kívül, akik a napsütésben döglés helyett bitet forrasztanak. Ezen a lusta vasárnapon két meglepő és mulattságos szösszenet is érkezett. Az egyik a McAffee-t érinti (emlékeztek, ők osztogattak Hacker Safe…

Címkék: sun incidens mysql sql injection mcafee

Blogok harca

2010.12.06. 20:00 | buherator | 1 komment

Az elmúlt héten két érdekes hiba is szembejött velem a blogszférából, mindkettő tartogat tanulságokat. A hibákat azóta javították, erről lesz még később szó. Az első probléma egy perzisztens XSS anyánk, a blog.hu kommentdobozában. A problémát _2501 vette észre ennél a…

Címkék: blog.hu sql injection xss az olvasó ír postr.hu

savannah.gnu.org

2010.11.30. 20:38 | buherator | Szólj hozzá!

Egy SQL injection támadás miatt le kellett állítani a szabad szoftvereket hosztoló savannah.gnu.org működését. A behatolók a Savane2 biztonsági hibáját használták ki, és több tag hash-elt jelszavához is hozzáfértek. Az üzemeltetők egy múltheti mentést állítanak vissza, így…

Címkék: hírek incidens sql injection savannah.gnu.org

Hackeld a választást!

2010.09.24. 12:26 | buherator | 4 komment

Lassan jönnek az önkormányzati választások, de nálunk sajnos nem nyílik olyan mértékű mókázásra lehetőség ezzel kapcsolatban, mint a svédeknél, ahol elfogadják a kézzel írt válaszokat is. A lehetőséget kihasználva egy vicces kedvű választó a következő jelöltre adta le…

Címkék: politika móka sql injection xss

Ingyenjegy II.

2010.08.20. 08:00 | buherator | 3 komment

Sajnos a fesztiválszezonnak jórészt vége, de ezek az okosságok még azért okozhatnak fejfájást a kedves üzemeltetőknek, Dropzone felfedezései:http://ticketpro.hu/events.php?order_by=-1 UNION ALL SELECT VERSION(),NULL,NULL,NULL,NULL,NULL,NULLhttp://www.jegy.hu/articles.php?aid=-1'…

Címkék: sql injection ticketpro interticket jegy.hu

Dundika

2010.08.11. 13:45 | buherator | 5 komment

Sajnos Dundika sem szeretne levelezni velem, pedig tudnék mutatni ezt-azt... Buksikutya küldte a következő szösszenetet: http://dundika.hu/index.php?mode=s&id='

Címkék: dundika sql injection az olvasó ír

SQL injection a Pirate Bay-en

2010.07.08. 11:04 | buherator | 2 komment

Egy argentín hacker, Ch Russo és két társa több SQL injection sebezhetőséget fedeztek fel a népszerű torrent tracker, a Pirate Bay weboldalán. A hibák lehetővé tették, hogy illetéktelenek (pl. akár a jogvédő szervezetek munktársai :) hozzáférjenek a 4 millió regisztrált…

Címkék: sql injection pirate bay

Példamutatás

2010.06.28. 12:04 | buherator | 8 komment

(mostanában úgy tűnik, csak ilyen fennkölt címeket bírok kitalálni...) Az elmúlt hetek sem teltek el szaftos sebezhetőségek nélkül. Buksikutya Stáhl Judit konyhájának honlapján talált érdekes dolgokat:…

Címkék: bug sql injection az olvasó ír

Régi kerékvágás

2010.06.02. 10:38 | buherator | 2 komment

Először is mindenkitől elnézést az elmúlt hetekben tapasztalt hosszabb kimaradásokért, kicsit rámszakadt a menny meg a pokol, de most már azt hiszem nyugodt szívvel állíthatom, hogy visszatérek a normális kerékvágásba. Felgyűlt pár dolog az utóbbi időben, szóval lesz mit…

Címkék: sql injection az olvasó ír budapest airoport

Query-halmozás MySQL-ben?

2010.04.22. 09:40 | buherator | 7 komment

Aki találkozott már kellően rosszul kialakított, MSSQL-t és/vagy ASP-t használó alkalmazással, az biztosan szívesen emlékszik vissza rá, hogy milyen egyszerű is lehet az SQL injection, ha az ember egy alkalmazásrétegbeli paranccsal egyszerre több műveletet is végrehajthat az…

Címkék: mysql sql injection query stacking

video.bme.hu

2009.12.07. 16:44 | buherator | 22 komment

Először is szeretném a figyelmetekbe ajánlani a címben szereplő remek oldalt (nye, adok pageranket is :), melyen a BME különböző (általában "nagy látogatottságú" :) előadásait tekinthetitek meg ingyen, otthoról, akkor is ha nem vagytok hallgatók (legalábbis…

Címkék: sql injection xss video.bme.hu