Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Webmail problémák

2009.08.23. 10:11 | buherator | 18 komment

A Hotmail ideiglenesen beszüntette a közvetlen képbeágyazási lehetőséget webes levelezőrendszerében, mivel egy Internet Explorerrel történő használat esetén előkerülő biztonsági problémát fedeztek fel a szolgáltatásban. Részleteket ugyan nem tudni, de a Coimputerworld információi szerint ismét egy hibás ActiveX vezérlő állhat a háttérben, melynek megfoltozását a cég a szeptemberi frissítőkeddre igyekszik időzíteni. Ez már talán elég támpontot adhat az elegendő felfedezőkedvvel megáldottaknak, hogy versenyezzenek kicsit a Microsoft hibajavítási ciklusával...

Tegnap egy másik érdekesség is landolt a postaládámban: secretworld hívta fel a figyelmem, hogy Benszi posztolt egyet a - bizonyos körökben egyébként állatorvosi lónak számító - Citromail néhány hibájáról. Bár természetesen remegve várjuk a javítást, sajnos az ementálifoltozáshoz nem fűzök nagy reményeket...

Címkék: hotmail activex sql injection xss citromail

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

b3nsz4 (törölt) 2009.08.24. 11:27:13

: ) this is a begining of a beautiful friendship : D

r@ek (törölt) 2009.08.24. 23:26:50

"Magyarország és az IT-Security...

Magyarország és az IT-Security kapcsolata nem létezik..
Itt magyarországon azzal pénzt nagyon ritkán tudsz keresni azzal hogy szólsz a hibákról a tulajdonosnak.. és ezaz amit szánalmasnak tartok..

Miért van az h akár egy céget is törsz fel sajnálnak 10-20 ezret arra kifizetni h elmond azt a rést amin keresztül bejutottál..?
Aztán csodálkoznak hogy nagy deface lessz az egészből.."

/ Forras: benszi.tumblr.com /

@buherator: Velemeny? :-)

HoaxSpecialist · http://hacker.blog.hu 2009.08.24. 23:34:38

r@ek, az a fail hogy b3nsz4 nem mond hulyeseget, jo kinottem azt hogy fityingekert dolgozom, es inkabb fix allas kell, de beszarnal, mennyire fosnak bele.
Egy ceg, marketinggel foglalkoznak es biztonsagos infrastrukturat epitenek cegeknek, pl: MagyarPosta, Uniqua biztosito, de atbasszak az ugyfeleiket, mivel azok adatai veszelyben vannak.
Komoly cegi papirokban turkalok, sot, ha kedvem lesz talan meg rootolom is magam a szerveren.

En telefonon hivtam fel ezt a ceget, rogton viszalykodasra, oltogatasra gondoltak, de en szoltam hogy ez csak egy barati telefonhivas, szemelyes adatok hianyaban a kapcsolattartas ott megszakadt (be is baszna ha kiadnam magam) de egy tanulsag volt. A hiba azota is fennt all, de meg az adminpw is ugyanaz a szajton.

Ezen gondolkodj el, kedves mindenttudo r@ek, es masokat oltogass.
Koszonom

b3nsz4 (törölt) 2009.08.24. 23:41:11

r@ek, én így érzem igazából a dolgot. erre nem tudok mit mondani.. lehet szórakozásból lehet rombolásból lehet tényleg rendességből csinálni a dolgokat..
de tudod nekem is pénzbe kerül az internet és az áram..

leet 2009.08.25. 08:44:08

@EgyTitkosHekker: Mindenki tudja, hogy ki vagy. Felesleges mindig új accountot, meg domaint, meg anyámkínját regisztrálni, miután mindig lejáratod magad. A hupon meg itt is amiket műveltél... Az a legszebb amikor egy hozzád hasonló tipikus scriptkiddie nevez másokat scriptkiddienek:) A saját érdekedben hagyj fel minden szakmai fórumon a kommenteléssel, inkább keresgélj xss-t noname oldalakon;)

buherator · http://buhera.blog.hu 2009.08.25. 08:55:50

@r@ek:
(Welcome back ;)
A kérdéses postról a véleményem az, hogy az ilyen jellegű "grayhat" tevékenységgel soha sehol nem lehetett pénzt keresni, ugyanakkor tényleg sokszor kiakasztó egyrészt a különböző érintett cégek munkájának a minősége (egyrészt gondolok itt magukra a fejlesztőkre, de az auditorok is tudnak szépeket alkotni), másrészt a felhasználók biztonságához való hozzáállása, de ez ismét nem magyar sajátosság.

HoaxSpecialist · http://hacker.blog.hu 2009.08.25. 14:28:44

@leet, pontosan leszarom tudod-e kivagyok. :-)
buheraeknak szerintem tiszta lehet a keplet, ha azt mondom 1st buhera sorozes, fiatal srac, sok lelkesedessel. :-)
igen, ez lett belole ha tanulok ra egy kicsit es utana nezek.
Nem tudom milyen domainekrol beszelsz, a b3nc3 blog, ottvan err0rs headerben, rest in peace (a gyengebbek kedveert, nyugodjon bekeben.) Bonyolult volt kitalalni :-)
++ ez a hobbim, nem az eletem. :-) ezzel jobb ha tisztaban vagy.

Es ahogy a bolcs mondas is tartja,
Ne itelj hogy ne iteltess.

synapse · http://www.synsecblog.com 2009.08.26. 10:16:51

r@ek:

"Miért van az h akár egy céget is törsz fel sajnálnak 10-20 ezret arra kifizetni h elmond azt a rést amin keresztül bejutottál..?"

Mibol hiszed, hogy egy ceg fizetni fog neked, hogy elarult a hibat? Ez a terrorizmus. Be lehet jonni, de nem mondom meg hogy hol, hacsak nem fizettek. SENKI nem kerte, hogy te "auditald" le az oldalt (barmit is jelent ez nalad), arra plane nem hogy tanacsot adj. Megtalaltad, gratulalok. De itt vege a tortenetnek. Orulj, hogy nem perelnek szarra, ha rajonnek. En sem orulnek ha valaki elkezdene kerdes nelkul "auditalgatni" a kocsimat vagy a baratnomet.


EgyTitkosHekker:

"En telefonon hivtam fel ezt a ceget, rogton viszalykodasra, oltogatasra gondoltak, de en szoltam hogy ez csak egy barati telefonhivas, szemelyes adatok hianyaban a kapcsolattartas ott megszakadt (be is baszna ha kiadnam magam) de egy tanulsag volt. A hiba azota is fennt all, de meg az adminpw is ugyanaz a szajton."

Remelem bankrol volt szo. Meg arrol is hogy mar mennek erted. Hulyegyerek

synapse

HoaxSpecialist · http://hacker.blog.hu 2009.08.26. 10:27:27

@synapse: nem, nem bankrol. valamint a nem otthonrol inteztem a telefont. :-)
Tulajdonkepp en is rajottem hogy a telefonnak tul sok haszna nem volt, valamint kiletem/munkam kockaztattam ezzel, de egy probat megert. Sajnos ugy tunik a joszandek hasztalan ha eddig szartak bele, eztan is fognak :-)

synapse · http://www.synsecblog.com 2009.08.26. 10:37:12

Egy baratom foglalkozott hangfelismeressel az egyetemen. Eleg meglepo eredmenyeket ertek el, 80-85%-os pontossag :)


syn

EQ · http://rycon.hu 2009.08.26. 14:20:33

terrorizmus, na ne már synapse hívjuk csak a régi nevén, zsarolás :D

HoaxSpecialist · http://hacker.blog.hu 2009.08.26. 16:11:56

@synapse: van rola valami dok? erdekelne :)
@EQ: lol

b3nsz4 (törölt) 2009.08.26. 19:04:12

@synapse:

"SENKI nem kerte, hogy te "auditald"..."

Elöször is.. én mint felhasználó szeretném hogy adataim biztonságba legyenek és az e-mail címem ne valami spam listákba kerüljön. de ők ezt magasról leszarják.. ezért inkább szól az ember.. de köszönetet se kap..
Per?
azt hittem synapse nagy legény lettél de úgy látszik még mindig gyerek vagy..
de nem akarok belemerülni..
@EQ
nem zsarolok és nem is terrorizálok senkit..
én elvárnám és illendőnek tartanám.
de eddig mindenki megkapta a maga kis szép levelet a hibáról.
és 1 köszönet se érkezett..
ennyit erről..
szerintem téma lezárva..

HoaxSpecialist · http://hacker.blog.hu 2009.08.26. 19:48:42

@b3nsz4: synapse -ra tett kijelentésre mint barátod csodálkozva figyeltem fel. a személyes ismereteimre hivatkozva, synapse egy nagyon jó szakember. Az a helyzet hogy tényleg ott a pont, azzal hogy Te a tudásodat felhasználva (tökmind1 hogyan) bejutsz /betörsz/ egy céghez, ugyan az, mintha egy feszítővassal nekivágnál az éjszakának.

buherator · http://buhera.blog.hu 2009.08.26. 22:49:15

Srácok, sírok.... óvoda 'zzeg... minden esetre azt hiszem eljött az ideje egy grayhat howto-nak.

r@ek (törölt) 2009.08.26. 23:50:36

@synapse: En csak ideztem a Mestertol! ;-) Fel is tuntettem a forrast...

synapse · http://www.synsecblog.com 2009.08.27. 09:32:55

"Elöször is.. én mint felhasználó szeretném hogy adataim biztonságba legyenek és az e-mail címem ne valami spam listákba kerüljön. de ők ezt magasról leszarják.. ezért inkább szól az ember.. de köszönetet se kap.."

EULA-t elolvastad? Ott valoszinuleg ottvan hogy kiadhatjak masoknak (persze szigoruan a partnereiknek /ehehe/). Innen nem a csunyagonosz hackerek fogjak folvagni a site-ot a parezer mailcimert hanem a direktmarketinges rohadekok megveszik kilora. Utana meg jon a spam (amit amugy sem tudsz elkerulni sajnos), de ez legalabb nem kornyezetszennyezo mint a reklamujsag :)

"Per?
azt hittem synapse nagy legény lettél de úgy látszik még mindig gyerek vagy..
de nem akarok belemerülni.."

Egy ilyen kijelentes utan nyugodtan elkezdhetsz belemerulni, mert kivancsiva tettel. BTW nem egy esetrol tudok amikor nem vegzodott jol egy-egy ilyen jatek.

"nem zsarolok és nem is terrorizálok senkit..
én elvárnám és illendőnek tartanám.
de eddig mindenki megkapta a maga kis szép levelet a hibáról.
és 1 köszönet se érkezett..
ennyit erről..
szerintem téma lezárva.. "

(szvsz) Ez a helyes hozzaallas. Nem tudom ott voltal-e amikor Depth beszelt arrol, hogy hany hibarol ertesitette az illetekeseket (ami gyorsan jegyezzuk meg egy eleg rizikos dolog). Hat kb 1/10-ere ha kapott egyaltalan valaszt. Szomoru, de ez van.

synapse