Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Aliencomputers - Frissítve

2009.10.15. 15:37 | buherator | 15 komment

Még múlt héten kaptam sghctomától pár érdekességet a magyar netről. Megpróbáltam felvenni a kapcsolatot az Aliencomputers-szel is, sajnos sikertelenül...

... egy eleg ismert szamitogepbolt, toluk az ember azert minimum azt elvarna, hogy ne plaintext-ben legyenek tarolva a jelszavak...

 http://aliencomputers.hu/index.php?mit=30&t_kat1_id=1&t_kat2_id=0'+union+select+1,+concat(loginnev,0x2d,email,0x3a,jelszo), [...censored ;)...]

Frissítés: Az illetékesek közben léptek valamit az ügyben, de buksikutya felhívta a figyelmemet, hogy az admin felületen még mindig gyönyörűen be lehet mászni autentikáció nélkül :P

Címkék: bug sql injection aliencomputers

fotofabrik 2009.10.15. 15:56:35

ez azért lehet durvább, mint amit küldtem. :)
és ha a userek többi helyen használt jelszava is stimmel ezekkel? :o

buherator · http://buhera.blog.hu 2009.10.15. 16:10:06

:)

Itt kell némi munka hogy végigvidd az injektet... Másrészt aki ugyanazt a jelszót használja minden oldalon, annak ez már nem oszt nem szoroz.

Laca@blog 2009.10.15. 17:13:15

szép!

én is küldtem pár hete, nem ennyire vészes hibákról, de politikailag korrekt voltam :) :) :)
előbb utóbb csak kikerül :)

julesthe5th 2009.10.15. 17:13:31

kipróbáltam...
eddig találomra kiszedtem pár bonyolultabb jelszóval próbálkozó muksót, és már két yahoo-s és egy gmailes postafiókba bejutottam. Az egyik helyen még skype emlékeztetőt is leltem, így gyanítom, ha kellene még a skype jelszavát is megtudnám, és isten tudja még micsodát!
Persze nem használok fel semmit, sehol... de azért durva!

b3nsz4 (törölt) 2009.10.15. 17:22:39

@julesthe5th
ez így van.. hidd el h 75% ugyanazt a jelszót használja mindenhova : )
én már apeh-tól kezdve rendőrségi ügyekről is találtam dolgokat.. : )
Szóval sok sikert ; )

Fearless · http://kozepvonal.blog.hu 2009.10.15. 18:31:25

Ez nagyon szép, grat hozzá :)

geciMano 2009.10.15. 21:56:33

kemény, hogy van olyan fejlesztő aki a hibaüzenetet a teljes SQL-lel kiteszi az oldalra, az admin-ra csak azért nehéz bejutni, mert nem megy FF alatt. :)

EQ · http://rycon.hu 2009.10.16. 02:28:39

elköltözött a dodge viper vagy mi történt? :)

HoaxSpecialist · http://hacker.blog.hu 2009.10.16. 06:08:50

searchbox: '
SQL/DB Hiba -- [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' AND statusz='megjelenik' AND uzlet_id='5' ORDER BY nev' at line 1]
[SELECT * FROM termek_data WHERE t_kat1_id='1' AND nev LIKE '%'%' AND statusz='megjelenik' AND uzlet_id='5' ORDER BY nev]

na ez damnit. merre jartok fejlesztok? :)

etkezesiutalvany 2009.10.16. 09:49:15

Nem tudom jó ötlet volt-e publikálni... az oké, hogy szánalmas és szar ez a portál, de így most egy csomó felhasználó adatai veszélybe kerültek a tudtukon kívül és önhibajukon kívül.

Szerintem nem kellett volna kirakni!

Ez elrettentő példának picit sok - bár hatásos, de szerintem nem etikus szabad prédának kitenni ennyi ember adatát...

lásd b3nsz4 hozzászólásást. ez parasztság.

R01 2009.10.16. 11:09:33

Szerintem a legdurvább benne, hogy a honlap adminjai lényegében bármikor bárkinek a jelszavához hozzáférhettek, teljesen titokban. És vajon hány ilyen honlap van még...

HoaxSpecialist · http://hacker.blog.hu 2009.10.16. 12:11:58

@R01: minden 3adik oldal plaintextben tarolja a jelszavakat. lol mi? :)

eax_ 2009.10.16. 13:08:59

@R01:
Surprise: az osszes ilyen. A jelszavakat igyis-ugyis plaintextben kuldod, hogy abban is taroljak-e, az mar reszletkerdes, ettol meg az adminok vigan hozzaferhetnek.

buherator · http://buhera.blog.hu 2009.10.16. 14:10:45

1) Ezúton is bocsánat, rohadtul nem gondoltam arra, hogy a WYSIWYG szerkesztő benthagyja az eredeti linket a href-ben :P Szóval nem volt célom ilyen direktben kirakni a cuccot, de elbasztam, most már javítottam, mást nem nagyon tudok tenni.... thx Chriss|Cc a felvilágosításért!

2) Fejezzétek már abba egymás köpködését, kezd rohadt unalmas lenni...

buherator · http://buhera.blog.hu 2009.10.16. 17:54:11

Na, vége a gyereknapnak, menjetek, igyatok valmait, én is ezt teszem!