Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


Perzisztens XSS a Twitteren

2010.06.24. 15:43 | buherator | 6 komment

Egy  0wn3d_5ys becenevet használó - feltehetően indonéz - Twitter felhasználó perzisztens XSS sebezhetőséget talált a Twitteren. A problémát egy tavaly nyilvánosságra kerülthöz nagyon hasonló hiba okozza. Múlt évben James Salter a Twitter alkalmazásokhoz beállítható…

Címkék: twitter xss

Sharepoint XSS

2010.04.30. 18:26 | buherator | Szólj hozzá!

A Microsoft figyelmeztetést adott ki, mivel nyilvánosságra került egy SharePoint2007-et érintő reflektív XSS sebezehtőség. A probléma abból adódik, hogy a /_layouts/help.aspx nem megfelelően kezeli a NULL byte-okat, így az alábbihoz hasonló lekérdezés segítségével kód…

Címkék: xss sharepoint

OK.hu és iWiW XSS-ek

2010.04.13. 12:31 | buherator | 6 komment

Sokáig gondolkoztam, hogy kirakjam-e ezt a két, m1key által beküldött szösszenetet, de az Apache incidens meggyőzött, hogy egy-egy ilyen jelentéktelennek tűnő hibáról is érdemes szót ejteni, ha elég népszerű domainekről van…

Címkék: iwiw xss ok.hu

Célzott támadás az Apache SF ellen

2010.04.13. 11:53 | buherator | 2 komment

Egy az Apache blogon megjelent incidensjelentés szerint a múlt hét folyamán sikeres célzott támadást hajtottak végre a szervezet egyik kiszolgálója (brutus.apache.org) ellen, melyen főként hibajegykezelést folytattak.A közlemény szerint az Apache JIRA, Bugzilla, és Confluence…

Címkék: incidens apache xss

Valasztas.hu - Frissítve

2010.02.23. 10:58 | buherator | 20 komment

Meister küldte az infót, hogy a kurucok "meghekkelték" a valasztas.hu-t, közben pedig arról is jöttek hírek, hogy kisebb médiahiszti van készülőben az üggyel kapcsolatban.  A radikális portálon belinkelt oldalak nem valódi deface-ek, csak néhány egyszerű reflektív…

Címkék: politika incidens xss valasztas.hu

video.bme.hu

2009.12.07. 16:44 | buherator | 22 komment

Először is szeretném a figyelmetekbe ajánlani a címben szereplő remek oldalt (nye, adok pageranket is :), melyen a BME különböző (általában "nagy látogatottságú" :) előadásait tekinthetitek meg ingyen, otthoról, akkor is ha nem vagytok hallgatók (legalábbis…

Címkék: sql injection xss video.bme.hu

Facebook adalék

2009.12.06. 19:55 | buherator | 4 komment

Helyesbítés: a poszt készültekor még nem voltam Facebook felhasználó, így tévesen azt feltételeztem, hogy az apps.facebook.com domainen elérhető szolgáltatások is a közösségi oldal infrastruktúrájához tartoznak, miközben ezeken a helyeken valójában mindig külső szervereket…

Címkék: facebook sql injection xss honeypot

Kritikus IE7 sebezhetőség

2009.11.22. 09:28 | buherator | 4 komment

Egy eddig foltozatlan, Internet Explorer 6 és 7 típusú böngészőket érintő sebezhetőség látott napvilágot tegnap a Bugtraq listán. A probléma speciális STYLE tagek getElementsByTagName() segítségével történő feldolgozásakor jelentkezik.  A hiba böngészőn keresztüli…

Címkék: internet explorer xss 0day

XSS féreg tombolt a Redditen

2009.09.29. 13:45 | buherator | Szólj hozzá!

Egy Empirical névre hallgató Reddit felhasználó olyan kódot tett közzé a tegnapi nap folyamán, amelyet a böngésző címsorába másolva az összes adott oldalon lévő kommentre választ küldött a bejelentkezett felhasználó. Később xssfinder továbbfejlesztette a módszert,…

Címkék: worm reddit xss

Voltam ITBN-en is!

2009.09.25. 01:10 | buherator | 1 komment

Mivel a GBG (Generic Bullshit Generator) úgy tűnt túlteljesítette a tervet, az előadások helyett inkább a kiállítók területe felé tereletm figyelmemet, ahol hamar összefutottam néhány régi cimborával, akik éppen a webkioszkot hackelték: A terminál alapesetben csak az ITBN.hu-t…

Címkék: esemény xss itbn kiosk

Súlyos Twitter hiba, béna javítás

2009.08.28. 13:09 | buherator | 1 komment

James Slater olyan problémát fedezett fel a Twitter szolgáltatásban, melynek kihasználásával tetszőleges JavaScript kód szúrható a szolgáltatás webes felületére, így pofonegyszerűen összehozható egy aranyos kis Twitter-féreg, amely pusztán egy-egy mikroposzt megtekintésekor…

Címkék: twitter xss

Webmail problémák

2009.08.23. 10:11 | buherator | 18 komment

A Hotmail ideiglenesen beszüntette a közvetlen képbeágyazási lehetőséget webes levelezőrendszerében, mivel egy Internet Explorerrel történő használat esetén előkerülő biztonsági problémát fedeztek fel a szolgáltatásban. Részleteket ugyan nem tudni, de a Coimputerworld…

Címkék: hotmail activex sql injection xss citromail

Helyi XSS-ek

2009.08.18. 10:00 | buherator | 14 komment

pzs írta: fórumomban linkeltek egy adatlapot, itt: http://userscripts.org/topics/17920?page=11#posts-155350 Az xss-t kihasználva (jelen pillanatban) csak egyedi háttérképet állított be magának a gyerek [az iwiwen], ami ilyen szintig még poén, de írtam iwiwnek (ebben a…

Címkék: iwiw index indapass xss

Megint képek

2009.08.05. 14:22 | buherator | 2 komment

Ezen a héten erre vagyok képes, hehe :)  Szóval már jó ideje benne él a "köztudatban" az alábbi szösszenet, az egyik tegnapi beszélgetés végre eszembe is juttatta, hogy megkeressem (remélem az alkotók nem veszik zokon, ha kicsit promótálom a dolgot): ...az…

Címkék: móka xss ethical hacking szeretlek.hu

Képtár

2009.08.04. 10:47 | buherator | 3 komment

buuz urtun küldte az alábbi képeket, főleg az utolsó figyelemreméltó:

Címkék: xss k&h honvédelmi minisztérium figyelő.net

A StrongWebmail nem adja fel!

2009.06.10. 12:58 | buherator | 1 komment

A kétfaktoros hitelesítést biztosító e-mail szolgáltató StrongWebmail tegnapi közleményében megmerősítette, hogy kifizeti a szolgáltatás sikeres kompromitálásáért felajánlott 10.000$-os díjat az Aviv Raff, Lance James és Mike Bailey alkotta triónak. Ezzel együtt a cég…

Címkék: xss strongwebmail telesign csrf.

10.000$-t ért a XSS

2009.06.05. 00:41 | buherator | 7 komment

Nem rég indult egy új webes e-mail szolgáltatás StrongWebmail néven, amely kétlépcsős autentikációval és korai figyelmeztetésekkel igyekszik garantálni felhasználó biztonságát. A vállalkozás 10.000$-t ajánlott fel annak, aki képes az ügyvezető igazgató (szintén a rnedszerben…

Címkék: kihívás xss strongwebmail

Hazai ízek

2009.05.04. 21:18 | buherator | Szólj hozzá!

> reCsak egy gyors válogatás az olvasómból:Roszindulatú kódot terjeszt(ett) a Panda Security magyar kirendeltségének weboldala, a pandasoftware.hu. Az infó a konkurenciától származik, én magam nem ellenőriztem.A McAffee-nél még mindig bajban vannak a webes biztonsággal.Az MPAA…

Címkék: incidens solaris mpaa xss mcaffee opensolaris adobe reader pandasoftware hu

Visszanyal a fagyi

2009.04.17. 23:38 | buherator | 2 komment

A hét elején bejárta a hír a sajtót, hogy egy 17 éves srác, bizonyos Mickey Mooney néhány XSS sebezhetőséget kihasználva szétspammelte a Twittert. Az amúgy sem túl elegáns (hogy finoman fogalmazzak) támadást követően Mooney nekilátott felépíteni kis médiakarrierét, melynek…

Címkék: twitter xss stalkdaily mickey mooney

iWiW nem perzisztens XSS

2009.03.27. 11:40 | buherator | 1 komment

Bezlapat küldte: http://iwiw.hu/pages/misc/faq.jsp?q=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Némi obfuszkációval fűszerezve jó szolgáltatot tehetne az adathalászooknak

Címkék: iwiw xss az olvasó ír

Index fórum + Indafotó XSS

2009.03.13. 13:45 | buherator | 14 komment

Bezlapat küldte az alábbi két perzisztens okosságot:http://indafoto.hu/akatona2/image/3111425-cb8d435fhttp://forum.index.hu/User/UserDescription?cmd=User_UserDescription&u=995624

Címkék: index xss indafoto az olvasó ír

JavaScript képekben

2009.02.12. 19:23 | buherator | Szólj hozzá!

Egy régi téma aktualizált változata jelent meg nem olyan régen a heise-online-on, most pedig végre van egy kis időm, hogy összefoglaljam nektek a cikk tartalmát. A probléma az Internet Explorer 7-es (legfrisseb stabi)l változatát, valamint néhány korábbi verziót érint, és…

Címkék: javascript internet explorer xss

Indapass bibi

2009.02.11. 14:48 | buherator | 4 komment

MArceLL szólt, hogy az Indapass kilépő oldalán van egy kis átirányítós XSS bug:http://indapass.hu/kilepes/?redirect_to=http%3A%2F%2Fwww.bix.hu%2FNem nagy dolog, de adathalászni pont jó. Az illetékeseket értesítettük.

Címkék: indapass xss phishing

Négy hónapos Facebook XSS

2008.12.10. 15:43 | buherator | 2 komment

Négy hónapja nem bírták befoltozni a Facebookon azt a két nem perzisztens XSS lyukat, amit a Register egyik olvasója fedezett fel. Csodák csodája, miután a hír megjelent a népszerű portálon, három órán belül sikerült javítani a problémát. Na igen, így működik a teljes…

Címkék: facebook xss full disclosure

Egy marék böngésző sebezhetőség

2008.10.27. 21:31 | buherator | 1 komment

Troppauer Hümértől kaptam a következőket:Az Opera sebezhető ún. tárolt XSS támadásokkal szemben: Az áldozat meglátogat egy weboldalt, melynek címe eltárolásra kerül a böngésző előzményei között. A következő futtatáskor az előzmények böngészésekor illetve keresésekor…

Címkék: firefox opera bug xss 0day chrome spoofing

süti beállítások módosítása