Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

XSS a nagyoknál

2008.06.09. 21:40 | buherator | 4 komment

Az XSSed harminc darab, részben javítatlan sebezhetőséget tett közzé olyan nagy biztonsági cégek portáljaival kapcsolatban, mint a Verisign, McAffee és a Symantec. A hibák elsősorban a segítségükkel végrehajtható adathalász támadások miatt kellemetlenek, valamint a Verisign hírnevének sem használ, hogy majd' fél éve jelentett hibák vannak az oldalaikon.

Címkék: bug xss phishing symantec mcaffee verisign

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

.Andrei (törölt) · http://www.andreiground.com/ 2008.06.11. 13:35:59

Én speciel azt nem értem, hogy ekkora cégek miért nem javították a hibákat pár nap alatt. Ha jól láttam, akkor még nagyjából 10 élő sebezhetőség van a harmincból. Legalább egy 406-os kódba beletolhatták volna az ilyen típusú GET-eket. A symantec 17-ből 10 hibát javított eddig. Gyorsak :)

scripter-man 2008.06.16. 14:51:30

Nem érnek rá, olyan sok a csúnya gonosz hekkkerek által írt még csúnyább, és még gonoszabb vírus, hogy minden idejüket kódelemzéssel kell eltölteniük.

Biztonságról, meg fenyegetettségről papolnak, közben meg nem fussa, egy normális webprogramozóra aki érti a dolgát. az ilyennek mindig az szokott végetvetni, hogy valaki megunja, és elkezd egy/több szép kis férget terjeszteni az adott réseken keresztül. Bár ha belegondolunk ez is csak jó nekik. :D

.Andrei (törölt) · http://www.andreiground.com/ 2008.06.17. 09:13:57

Az Eset már javította a hibát.

Scripter-man: tulajdonképpen ez mindenkinek jó. Amikor megírtam az ellencikket arra a hackeres cikkre volt, akinek nem tetszett, és volt aki csak az oldalamat akarta tesztelni. Persze az ilyen xss cuccokat már szerver szinten meg lehet fogni illegális kérésként. (Ezért is írtam a 406 hibakódos dolgot.) Az ilyen jellegű hibákra ezerszám rápróbáltak. Én meg ott ültem a másik oldalon és néztem, hogy mi történik, nomeg ellene dolgoztam. Ennek köszönhetően ma már sokkal boldogabb és szárazabb érzés :)
süti beállítások módosítása