Az SQL injection gyorsítós posztra érkezett egy komment _2501-től, amit azt hiszem érdemes kiemelebb helyen (itt) is közzétenni, nehogy feledésbe merüljön: Nem rossz, tetszett a dolog, inspiráló. Teljes blind injektből több értéket visszahozni az injekten belül már ninjutsu. :)…

Két héttel a legújabb, 7.3-as verzió megjelenése után buffer túlcsordulásos hibát találtak  a QuickTime RTSP protokolkezelőjében. 24 órával a felfedezés után már két távoli kódfuttatásra alkalmas exploit látott napvilágot, úgyhogy mindenkinek jó lesz frissítenie hamar!

A ha.ckers.org-on jelent meg Tim Strinpling egy értekezése a Google Gadgetek lehetséges CSRF támadásáról. A régi mondás, mely szerint, ha a fejlesztők egy hibáról úgy gondolják, hogy lehetetlen kihasználni, jön valami srác Finnországból és kihasználja (vagy valami ilyesmi)…

Rambo írt egy remek kis összefoglalót arról, hogy milyen elterjedt módszerek léteznek a különböző módokon tárolt jelszavak hatékony (gyors) megszerzésére. A poszt végén szóba kerül az MD5 és annak "megerősítésének" lehetősége, amelyről eszembe jutott egy szintén…

Most olvasom a Hacker Webzine-en, hogy egyik román szomszédunk, bizonyos Luca SQL injection segítségével tudott XSS-et produkálni, miközben egy barátja webalkalmazását tesztelte. Nos, ezt már a torrentrazzia alatt honfitársunk, kdavid is eljátszotta (11:47) a ProArt-tal. A hibát ott…

Gareth Heyes írt egy érdekes posztot a mindennapi életbe befurakodó biometrikus azonosító rendszerekről. Íme a fordítás+egyéb gondolatok összeturmixolva: Egy nem rég megjelent sajtóhír szerint Németország néhány szupermarketében mostantól ujjlenyomatolvasó használatával is…

Nem tudom hogy feltűnt-e, pár napja kilinkeltem az egyik kedvenc online képregényemet, az xkcd-t. A képkockákat Randall Patrick Munroe rajzolja, mostanában - miután a NASA nem hosszabbította meg a szerződését - teljes munkaidőben. A történetekben gyakran felbukkan a "kocka"…

Adatgazda: Őfennsége Adó és VámhivatalaAdathordozó: 2 db. MerevlemezMennyiség: 25 millióInformáció jellege: Személyes adat + banki infóTitkosított: Nem Link

Ronald van den Heetkamp oldala a The Hacker Webzine átesett a beigért változáson: elkészült egy fórum, ami témáit tekintve erősen a sla.ckers-re hasonlít - meglátjuk hogy elfér-e majd két betyár egy csárdában - , és külön szekciót kaptak a Ronald által fejlesztett eszközök…

Filmbe illő rendőrségi akció keretében tartóztatták le a svéd Dan Egerstadet, aki még augusztusban jutott hozzá kb. ezer kormányzati e-mail postafiók jelszavához és egyéb érzékeny adatokhoz, melyekből egy rövidebb, 100 adatot tartalmazó listát tett közzé az interneten, miután…

Már február óta ismert a Firefox egy olyan sebezhetősége, amely lehetővé teszi, hogy perzisztens XSS-et hajtsunk végre bármely site-on, ami engedélyezi felhasználói számára .zip fájlok feltöltését. A hiba a jar: protokolkezelő megvalósításában van, a probléma forrása…

Kezdek már roszul látni az egyik szememre, de úgy érzem hogy a tegnapi lefolgalásokról itt is érdemes (még több) szót ejteni. Itt ugyanis nem egyszerűen arról van szó, hogy megbukott néhány sportkocsiban furikázó bűnöző, meg néhány srác nem kapja meg a napi pornó/sorozat…

"A mai nap folyamán elvileg több, mint 80db szervert foglaltak le. Céges szervereket, torrent trackerek szervereit..." Először is a következőket szeretném (ismételten) leszögezni: A BSA ugyanakkora jogkörrel rendelkezik, mint az Alsófenékpusztai Nyugdíjas Versmondó…

Ez az informatikai tárgyú lap még csak csonk (azaz erősen hiányos). Segíts te is, hogy igazi szócikk lehessen belőle!Mert Wikit írni igazi h4x0rság ;) De tényleg!

Stefano Di Paola és Giorgio Fedon egy hasznos kis trükköt mutattak be a vak SQL Injection támadások sávszélességkímélő kivitelezésére:Vak támadások esetén sokszor elég a kiszolgáló válaszainak hosszát elemezni, hogy rájöjjünk, miként futott le az általunk beszúrt kód.…

A Microsoft megerősítette, hogy támadók aktívanpróbálnak kihasználni egy, a Windows XP-vel és Windows Server 2003-mal érkező secdrv.sys-ben lévő hibát. Ez a fájl a Macrovision Security Driver - tehát egy külső cég szoftvere - amely a játékok másolásvédelmét biztosítja. A…

Gyaloghacker idő hiányában abbahagyta a blogolást, és a bejegyzéseit is eltávolította. Kár érte.A Hacker Webzine ezen túl regisztrációhoz köti az olvasást, jelenleg az előregisztráció zajlik. Kíváncsi vagyok mi lesz a dologból, az minden esetre valószínű, hogy ezen túl nem…

Nemessis talált két XSS lyukat a paypal-en: crmgateway.paypal.com/payflow/cgi-bin/mail_pcancellation.pl?host=remote&processing=Yes&partner_login=…

Az i Defense Labs idei utolsó negyedévi versenye az e-mail klienseket célozza meg. 8000$ díjazásban részesül az az első hat versenyző, aki távolról kihasználható, tetszőleges kód futtatására alkalmas hibát a talál az alábbi szoftverek bármelyikében:Microsoft OutlookMozilla…

Kicsit elszégyelltem magam, miután elolvastam a legutóbbi poszot a Hacker Webzine-en, amiben Ronald azt ecseteli, hogy miként tudná megtörni a Microsoftos kollegák SharePoint szerverét. Az arcpirító a dologban egyrészt az, hogy a módszer végtelenül primitív, nekem mégsem jutott eddig…

"... egyes Microsoft ügyfelek egy reggel azt vehették észre, hogy WSUS-on lógó összes szerverük és desktop-juk elfogadás nélkül, automatikusan Windows Desktop Search (WDS) szolgáltatással felszerelt állapotba került. Bobbie Harder, a Microsoft WSUS csapat programigazgatója a…

Egy szubjektív, de érdekes rangsor, pédát lehet venni: 1. Stephen G. 'Woz' WozniakAz Apple alapítója. Karrierjét blue-boxok építésével kezdte, melyeket aztán osztálytársainak árult. A blue-box egy olyan eszköz, amely egy speciális frekvencia (2600Hz) kiadásával alkalmas volt…

Ronald ma reggel vadászni indult. Firefox hibákra vadászni. Nem régen leste ki a gazfickók egyik rejtekhelyét: az oldalsávot, a helyet, amiről a legtöbb ember azt sem tudja, hogy létezik! A vadász szimata jó volt, nem tért haza üres kézzel: Az első hiba/feature segítségével arra…

"Egy kétes hírnevű orosz cég [Elcomsoft - MS Gold Certified Partner...] a videokártya processzorát vonja be a jelszavak feltörésének erőforrásigényes procedúrájába. Egy 60-70 ezer forintos grafikus kártya a huszonötszörösére gyorsítja a törést." - IndexEgy kis…

Anno elmulasztottam megemlíteni a Petko Petkov Adobe PDF hibát, amely parancsfuttatást tesz lehetővé PDF fájlokon keresztül. Ha jól emlékszem ennek egyik oka az volt, hogy nem volt elérhető PoC vagy egyéb leírás a hibával kapcsolatban, ezért úgy gondoltam, hogy a megfelelő…