Egy Empirical névre hallgató Reddit felhasználó olyan kódot tett közzé a tegnapi nap folyamán, amelyet a böngésző címsorába másolva az összes adott oldalon lévő kommentre választ küldött a bejelentkezett felhasználó. Később xssfinder továbbfejlesztette a módszert...

Mivel a GBG (Generic Bullshit Generator) úgy tűnt túlteljesítette a tervet, az előadások helyett inkább a kiállítók területe felé tereletm figyelmemet, ahol hamar összefutottam néhány régi cimborával, akik éppen a webkioszkot hackelték: A terminál alapesetben csak az ITBN.hu-t...

James Slater olyan problémát fedezett fel a Twitter szolgáltatásban, melynek kihasználásával tetszőleges JavaScript kód szúrható a szolgáltatás webes felületére, így pofonegyszerűen összehozható egy aranyos kis Twitter-féreg, amely pusztán egy-egy mikroposzt megtekintésekor...

A Hotmail ideiglenesen beszüntette a közvetlen képbeágyazási lehetőséget webes levelezőrendszerében, mivel egy Internet Explorerrel történő használat esetén előkerülő biztonsági problémát fedeztek fel a szolgáltatásban. Részleteket ugyan nem tudni, de a Coimputerworld...

pzs írta: fórumomban linkeltek egy adatlapot, itt:  http://userscripts.org/topics/ 17920?page=11#posts-155350 Az xss-t kihasználva (jelen pillanatban) csak egyedi háttérképet állított be magának a gyerek [az iwiwen], ami ilyen szintig még poén, de írtam iwiwnek (ebben a pillanatban)...

Ezen a héten erre vagyok képes, hehe :)  Szóval már jó ideje benne él a "köztudatban" az alábbi szösszenet, az egyik tegnapi beszélgetés végre eszembe is juttatta, hogy megkeressem (remélem az alkotók nem veszik zokon, ha kicsit promótálom a dolgot): ...az előadásró l ezt...

buuz urtun küldte az alábbi képeket, főleg az utolsó figyelemreméltó:

A kétfaktoros hitelesítést biztosító e-mail szolgáltató StrongWebmail tegnapi közleményében megmerősítette, hogy kifizeti a szolgáltatás sikeres kompromitálásáért felajánlott 10.000$-os díjat az Aviv Raff, Lance James és Mike Bailey alkotta triónak.  Ezzel együtt a cég egy...

Nem rég indult egy új webes e-mail szolgáltatás StrongWebmail néven, amely kétlépcsős autentikációval és korai figyelmeztetésekkel igyekszik garantálni felhasználó biztonságát. A vállalkozás 10.000$-t ajánlott fel annak, aki képes az ügyvezető igazgató (szintén a...

> re Csak egy gyors válogatás az olvasómból: Roszindulatú kódot terjeszt(ett) a Panda Security magyar kirendeltségének weboldala, a pandasoftware.hu. Az infó a konkurenciától származik , én magam nem ellenőriztem. A McAffee-nél még mindig bajban vannak a webes biztonsággal. Az...

A hét elején bejárta a hír a sajtót, hogy egy 17 éves srác, bizonyos Mickey Mooney néhány XSS sebezhetőséget kihasználva szétspammelte a Twittert. Az amúgy sem túl elegáns (hogy finoman fogalmazzak) támadást követően Mooney nekilátott felépíteni kis médiakarrierét, melynek...

Bezlapat küldte: http://iwiw.hu/pages/misc/faq.jsp?q=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Némi obfuszkációval fűszerezve jó szolgáltatot tehetne az adathalászooknak

Bezlapat küldte az alábbi két perzisztens okosságot: http://indafoto.hu/akatona2/image/3111425-cb8d435f http://forum.index.hu/User/UserDescription?cmd=User_UserDescription&u=995624

Egy régi téma aktualizált változata jelent meg nem olyan régen a heise-online-on, most pedig végre van egy kis időm, hogy összefoglaljam nektek a cikk tartalmát. A probléma az Internet Explorer 7-es (legfrisseb stabi)l változatát, valamint néhány korábbi verziót érint, és...

MArceLL szólt, hogy az Indapass kilépő oldalán van egy kis átirányítós XSS bug: http://indapass.hu/kilepes/?redirect_to=http%3A%2F%2Fwww.bix.hu%2F Nem nagy dolog, de adathalászni pont jó. Az illetékeseket értesítettük.

Négy hónapja nem bírták befoltozni a Facebookon azt a két nem perzisztens XSS lyukat, amit a Register egyik olvasója fedezett fel. Csodák csodája, miután a hír megjelent a népszerű portálon, három órán belül sikerült javítani a problémát. Na igen, így működik a teljes

Troppauer Hümértől kaptam a következőket: Az Opera sebezhető ún. tárolt XSS támadásokkal szemben: Az áldozat meglátogat egy weboldalt, melynek címe eltárolásra kerül a böngésző előzményei között. A következő futtatáskor az előzmények böngészésekor illetve...

Kikerültek az első információk a világot rettegésben tartó clickjacking támadásról... Az alábbi videó alapján azt hiszem fejet kell hajtsak azok előtt, akiket annak idején "lehurrogtam" , mivel az általuk mutatott próbálkozást nem találtam túlzottan innovatívnak. Nos, mint...

Még mindig kihasználható a közkedvelt Rapidshare fájlmegosztón az a több mint két hónapos XSS hiba, amit nktpro fedezett fel , és tárt a nagyközönség elé. Persze sok nagy forgalmú oldalon láttunk már hasonlóan hosszú ideig nyitva maradó réseket, ebben az esetben azonban az...

Az XSSed harminc darab, részben javítatlan sebezhetőséget tett közzé olyan nagy biztonsági cégek portáljaival kapcsolatban, mint a Verisign, McAffee és a Symantec. A hibák elsősorban a segítségükkel végrehajtható adathalász támadások miatt kellemetlenek, valamint a Verisign...

A sokat támadott HackerSafe* tanúsítványt kiadó, azóta a McAffee által felvásárolt Scan Alert egykori alelnökét Brett M. Oliphantot több rend beli csalással és sikkasztással vádolja Indiana állam ügyészsége. A vádak szerint Oliphant fedezet nélküli kötvények(?)...

Az Egyesült Államok Demokrata Pártjának egyik elnökjelöltjének, Barack Obamának weboldalára egy magát III. Liverpooli Moxnak nevező illető olyan kódot juttatott, amely a látogatókat a jelölt párton belüli riválisának, Hillary Clintonnak az oldalára irányította. A támadást...

Billy Rios újabb trükköt fedezett fel a Google egyik webes alkalmazásában, ezúttal a Spreadsheets volt az "áldozat". Mivel a Google által beállított munkamenet azonosítók az egész google.com domainre érvényesek, a hiba kihasználsával az összes G-betűs szolgáltatás - pl. a...

Ronald még mindig Internet Explorert hackel : Bevezető Az előző PoC-nél, ahol az internet Explorer elleni perzisztens Dos Támadást mutattam meg feltűnt, hogy az ieframe.dll egy eddig számomra ismeretlen htm fájlra hivatkozott. Ennek a neve acr_error.htm, ez jeleníti meg a hibaablakot...

Darkelf talált egy nem-perzisztens XSS hibát a blog.hu keresőmotorjában. Mint tudjuk, az ilyen jellegű hiányosságok alap esetben nem jelentenek komoly veszélyt egy oldalra nézve, bár pl. egy phishing akció lebonyolításához kiválóan használhatók. Darkelf viszont kicsit...