Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


Való Világ

2014.01.20. 09:06 | buherator | 12 komment

Nem gondoltam, hogy valaha meg fogok emlékezni a Való Világról ezen blog hasábjain, de úgy tűnik, hogy hosszú idő után ezt a szerveződést érte az a "megtiszteltetés", hogy automatizált botok helyett céltudatosabb támadók deface-eljék a weboldalát.  Ahogy az a comment:com…

Címkék: incidens xss deface való világ

Karaktercsempészet

2013.09.12. 13:37 | buherator | Szólj hozzá!

Webes projektek során egyre gyakrabban fordul elő, hogy bár a tesztelt alkalmazás megvalósít valamiféle bemeneti szűrést, az adatbázis segít kikerülni számunkra ezeket a megkötéseket.  SQL Smugglingról korábban már írtam (bár ideje lenne frissíteni azt a posztot...),…

Címkék: sql injection xss sql smuggling nsmuggler

Frissítőkedd - 2013. január

2013.01.08. 21:03 | buherator | Szólj hozzá!

Microsoft MS13-001: Erős darabbal indul az új év: a sokak szívében kiemelt helyet elfoglaló Printer Spooler szolgáltatás hibája lényegében a nyomtatási sorok "megfertőzését" teszi lehetővé: egy nomtatási joggal rendelkező felhasználó olyan feladatokat hozhat létre a nyomtató…

Címkék: microsoft ssl patch nvidia .net xss tls moinmoin

Microsoft frissítőkedd - 2012. október (+ 25 Flash Player hiba)

2012.10.09. 23:22 | buherator | Szólj hozzá!

MS12-064: Az Office Windows-os változatait illetve 2010 SP1-es SharePoint Servert érintő két sérülékenység javítása, melyek Word illetve RTF dokumentumok megnyitásakor vezethetnek kódfuttatáshoz. MS12-065: Szintén a Word fájlok feldolgozását érintő probléma javítása a Works…

Címkék: microsoft windows office adobe internet explorer oracle xss sharepoint works pki flash player fast search server

Microsoft frissítőkedd - 2012. szeptember

2012.09.11. 21:57 | buherator | Szólj hozzá!

Szerencsére a Microsoft szeptember 11-i javításai nem katasztrofálisak: MS12-061: A Visual Studio Team Foundation Server XSS sérülékenysége jogosultságkiterjesztést tehet lehetővé social engineering támadásokkal kombinálva. MS12-062: Szintén egy reflektív XSS sérülékenység…

Címkék: microsoft patch cisco activex xss sccm visual studio foundation server

Hírek - 2012/27. hét

2012.07.16. 11:47 | buherator | Szólj hozzá!

Kapcsold ki a kütyüket! A Microsoft arra bíztatja felhasználóit, hogy kapcsolják ki a Windows Sidebar és Gadgets komponenseit, mivel az ezeken elhelyezendő, harmadik féltől származó kütyük sok esetben nem követik a biztonságos programozás alapelveit, sérülékenységeket vezetve…

Címkék: hírek incidens xss 0day rat fail tumblr auscert darkcomet plesk andoridforums

Microsoft frissítőkedd - 2012. július

2012.07.11. 11:05 | buherator | 2 komment

MS12-043: Javítás az egy hónapja tátongó, aktívan kihasznált XML Core Services hibához. A folt csak az MSXML 3-as, 4-es és 6-os verzióit javítja, mivel aktív támadásokat ezekkel szemben tapasztaltak. Az 5-ös verzióhoz - melyet az Office 2003 és 2007 programcsomagok használnak -…

Címkék: microsoft patch internet explorer beast xss sharepoint tls pki dll hijacking

Microsoft frissítőkedd - 2012. június

2012.06.12. 23:02 | buherator | 1 komment

MS12-036: Kapásból a hírhedt MS12-020 tesójával indul a hónap, az RDP hibája távoli kódfuttatást tesz lehetővé autentikáció nélkül. A gyártó most is 1-es kihasználhatósági indexet adott a hibának, azaz véleményük szerint 30 napon belül várható működő exploit…

Címkék: microsoft windows patch office internet explorer .net xss 0day xen md5 truetype pwn2own dynamics rdp lync ms12-020 flamer

Kritikus Flash Player frissítés

2012.02.15. 23:07 | buherator | Szólj hozzá!

Az Adobe kritikus besorolású biztonsági frissítőt adott ki a Flash Playerhez. A javított sebezhetőségek között a szokásos memória korrupciós problémák mellett két kódfuttatásra alkalmas "security bypass" és egy Cross-Site Scripting hibát is találunk, utóbbit aktív, célzott…

Címkék: patch adobe xss

Microsoft frissítőkedd - 2012. február

2012.02.14. 21:28 | buherator | Szólj hozzá!

MS12-008: Két Windows kernelt érintő probléma javítása. Az egyik a billentyűzetkiosztások kezelésével kapcsolatos use-after-free, és hely privilégiumemelésre ad lehetőséget. A másik probléma a kernel GDI komponensét érinti, és a Microsoft szerint távoli kódfuttatásra is…

Címkék: microsoft windows internet explorer .net xss sharepoint visio dll hijacking silverlightt indeo msvcrt.dll

Microsoft frissítőkedd - 2012. január

2012.01.11. 11:59 | buherator | Szólj hozzá!

Az év első fekete keddjén a Microsoft nem gurított különösen nagyot - az igazán félelmetes .NET sebezhetőséget még decemberben kivégezték.MS12-001: Windows XP SP3-on kívül minden támogatott operációsrendszer verzióban javítani kellett egy SafeSEH "megkerülésre"…

Címkék: microsoft windows ssl patch beast xss tls windows media player visual studio csrss clickonce safeseh antixss

Microsoft frissítőkedd - 2011. október

2011.10.12. 12:52 | buherator | Szólj hozzá!

Beköszöntött a hideg, de a Microsoft egy nagy adag frissítéssel gondoskodik róla, hogy égjen a kezünk alatt a munka. A szokásos javítócsomagok mellett megjelent a Microsoft Security Intelligence Report legfrissebb kiadása is, melynek tanúsága szerint a támadások 99%-a még mindig…

Címkék: microsoft windows patch internet explorer .net silverlight xss response splitting host integration server

Protokollok-közti exploitálás

2011.10.02. 15:49 | buherator | 4 komment

A szeptemberi meetup kapcsán elkezdtem egyre többet foglalkozni a BeEF-fel, aminek az lett az eredménye, hogy felvettek a commiterek közé, és rögtön a nyakamba is akasztottak egy feladatot: az Inter-Process Expolitation/Communication modulok közül a "POSIX" változatot kellett…

Címkék: xss beef ipec inter protocol exploitation

Flash Player frissítések

2011.09.22. 10:28 | buherator | Szólj hozzá!

 Az Adobe tegnap rendkívüli frissítést adott ki a Flash Player 10-es főverziójához, melyben összesen hat hibát javítanak, melyek közül egyet aktívan kihasználnak célzott, és feltehetően valamely állam által szponzorált támadásokhoz. Utóbbi hiba kissé meglepő módon egy…

Címkék: patch adobe xss google chrome flash player

ICQ XSS

2011.07.27. 21:13 | buherator | Szólj hozzá!

Levent Kayan a Skype után most az ICQ üzenetküldőben talált XSS hibát, melyen keresztül ellophatók a csatlakozó kontaktok munkamenet azonosítói. A közzétett leírás szerint a Skype esetéhez hasonlóan a profil adatokbaszúrt kliens oldali kódok nincsenek megfelelően szűrve -…

Címkék: icq xss

Skype XSS

2011.07.15. 17:27 | buherator | Szólj hozzá!

Levent Kayan perzisztens Cross-Site Scripting hibát fedezett fel a népszerű kommunikációs szoftver aktuális verzióiban. A felhasználói profil mobil telefonszám mezőjének szűrése nem megfelelő, így az ide helyezett kliens oldali szkriptek a profilinformációk frissülése után…

Címkék: skype xss

Soron kívüli Flash Player frissítés

2011.06.07. 12:12 | buherator | Szólj hozzá!

Az Adobe frissítette a Flash Player 10-es vonalának Windowsra, Mac-re, Linuxra és Solarisra szánt változatait, így javítva egy aktívan kihasznált XSS hibát. Az androidos változat a héten frissül. A hiba kihasználásával a támadó a célpont felhasználó nevében hajthat végre…

Címkék: flash patch adobe xss

XSS, kettőt egy csapásra

2011.05.27. 15:40 | buherator | 7 komment

Tegnap elég nagy port kavart Twitteren az ÁNTSZ.hu XSS sebezhetősége, valamint hogy állítólag az admin felület sem valami jól védett (az alapértelmezett RedHat nyitóoldalról, és a hasonló apróságokról már nem beszélve), de azért az sem egyszerű, ahogy a yamm.hu átvette a…

Címkék: ántsz xss yamm.hu antsz.hu

XSS esettanulmány a chat.hu-n

2011.04.27. 15:00 | buherator | 7 komment

CC Addict készített néhány videót, melyben remekül látszik, hogy az olyan unalomig ismételt - de rengeteg helyen meglévő - sebezhetőségek, mint a XSS milyen kárt okozhat egy-egy social engineeringgel fűszerezett támadás során. Az alábbi felvételen a chat.hu az állatorvosi ló: A…

Címkék: chat.hu xss

XSS az Android Market-en

2011.03.08. 19:21 | buherator | 6 komment

 Mire nem jó egy buta böngészőhiba! Jon Oberheide egy olyan XSS-t fedezett fel az Android Marketen, amit bármilyen script kiddie megirígyelne: ha beírsz egy tetszőleges szkriptet az alkalmazásod leírásába, az bizony lefut.  A dolog azért különösen gyönyörű, mert a Market…

Címkék: android xss android market pwn2own

Hiba a Windows MHTML protokollkezelőjében

2011.01.29. 15:57 | buherator | Szólj hozzá!

A Microsoft figyelmeztetőt adott ki, melyben egy XSS-re lehetőséget adó hibára hívja fel a figyelmet. A probléma lényege, hogy az MHTML protokollkezelőn keresztül lekérdezett weboldalakba akkor is elhelyezhetők rosszindulatú szkriptek, ha a weboldal egyébként megfelelően szűri a…

Címkék: windows bug xss mhtml

Blogok harca

2010.12.06. 20:00 | buherator | 1 komment

Az elmúlt héten két érdekes hiba is szembejött velem a blogszférából, mindkettő tartogat tanulságokat. A hibákat azóta javították, erről lesz még később szó. Az első probléma egy perzisztens XSS anyánk, a blog.hu kommentdobozában. A problémát _2501 vette észre ennél a…

Címkék: blog.hu sql injection xss az olvasó ír postr.hu

Hackeld a választást!

2010.09.24. 12:26 | buherator | 4 komment

Lassan jönnek az önkormányzati választások, de nálunk sajnos nem nyílik olyan mértékű mókázásra lehetőség ezzel kapcsolatban, mint a svédeknél, ahol elfogadják a kézzel írt válaszokat is. A lehetőséget kihasználva egy vicces kedvű választó a következő jelöltre adta le…

Címkék: politika móka sql injection xss

Indavideó perzisztens XSS

2010.07.12. 09:30 | buherator | 2 komment

RtT küldte az alábbi videót, köszönjük:

Címkék: indavideo xss

YouTube XSS

2010.07.05. 10:02 | buherator | 2 komment

Automatikusan rejtettre állították a kommentárokat a YouTube-on, miután tömeges XSS támadás kezdődött rajtuk keresztül. A problémát az okozta, hogy a megjegyzéseknél használt szűrőeljárás csak az első beírt <script> tageket szűrte ki, így tetszőleges kliens oldali kód…

Címkék: youtube incidens xss