Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Rapidshare jelszó lenyúlása

2008.07.20. 13:33 | buherator | 7 komment

Még mindig kihasználható a közkedvelt Rapidshare fájlmegosztón az a több mint két hónapos XSS hiba, amit nktpro fedezett fel, és tárt a nagyközönség elé. Persze sok nagy forgalmú oldalon láttunk már hasonlóan hosszú ideig nyitva maradó réseket, ebben az esetben azonban az oldal programozói elkövettek még egy hatalmas baklövést: a bejelentkezett felhasználók neve és jelszava lényegében titkosítatlanul van tárolva a felhasználóhoz bejelentkezéskor érkező sütiben.

Innentől kezdve könnyű szerrel írható egy olyan szkript, amely a Rapidshare oldalára beszúrva ellopja a belépett felhasználó nevét és jelszavát. A Premium felhasználóknak ajánlatos tehát óvatosnak lenni a különböző, rapidshare.com-ra mutató linkekkel!

Címkék: bug xss rapidshare

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Franie 2008.07.20. 17:10:29

Első?

Felkeltette az érdeklődésemet .... ;-)

rockjano 2008.07.20. 17:42:34

ajjaj... én is prémium júzer lennék

RCH 2008.07.20. 18:20:53

En a FlashGet-et allitottam be, hogy kezelje az RS linkeket igy egyszerubb, gyorsabb es ugy latszik biztonsagosabb is. Asszem.

marosy 2008.07.20. 19:46:53

"Első?"
Van valami érdem abban, hogy első a hozzásböfögésed?

Franie 2008.07.20. 20:28:42

Nem akartam vele semmit ... de ha a kommentem "böfögésnek" minősül, akkor ez van.

Egyébként meg simán megéri a 2000 Ft/hó.

kutyacica 2008.07.20. 22:21:14

marosy, Franie: stop bitchin', bitch. ez egy tech blog, ugye, nem trollkodásra való, ugye. kussolok, ugye.

tNh.GhostBoy™ 2008.07.22. 01:39:20

Ezt szerintem este tesztelem :P