Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Facebook adalék

2009.12.06. 19:55 | buherator | 4 komment

Helyesbítés: a poszt készültekor még nem voltam Facebook felhasználó, így tévesen azt feltételeztem, hogy az apps.facebook.com domainen elérhető szolgáltatások is a közösségi oldal infrastruktúrájához tartoznak, miközben ezeken a helyeken valójában mindig külső szervereket látunk.

Úgy tűnik m1key legutóbb jó helyen tapogatózott, a Security-Shell bloggerei ugyanis már legalább szeptember óta piszkálják a Facebook adatbázisait az alkalmazások számára fenntartott aldomainen keresztül. Ma is több SQL injectionre és reflektív XSS-re alkalmas hibát tettek közzé. Azt persze nem tudni, hogy ezúttal is csak egy honeypot figyelt-e a túloldalon, minden esetre felhívtam a kollegák figyelmét a csapdákra.

Címkék: facebook sql injection xss honeypot

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

HoaxSpecialist · http://hacker.blog.hu 2009.12.07. 00:34:28

ez nem honey volt :)) koszi az infot, amiota nincs a forum nem nagyon jarok secsh3ll fele. btw nem is tudtam hogy ismered oket :o)

buherator · http://buhera.blog.hu 2009.12.07. 12:00:16

@HoaxSpecialist: És ezt honnan tudod? A honeypotok lényege az, hogy ne tudd róluk megmondani, hogy azok ;) Másrészt az is jól kivehető a screenekről, hogy ezek nem FB-s adatbázisok, hanem az app-ok tulajdonosaié (ami persze csökkenti a honeypot-veszélyt :).

HoaxSpecialist · http://hacker.blog.hu 2009.12.07. 15:18:59

@buherator: nezzuk csak a magyar alternativat, az iwiwet :) ott is kulso szerveren vannak a cuccok az alkalmazasokhoz. de ha nem valami nub app, akkor valszeg tarol is el informaciot az illetekes szemelyekrol, es innen nem folytatom mert ugyis tudod mire kell egy hekkernek szemelyes info, IGAZ?! :))))

buherator · http://buhera.blog.hu 2009.12.07. 15:42:15

@HoaxSpecialist:
1. Nem a kérdésre válaszoltál. Még mindig az érdekel, hogy hogyan mondod meg egy SQLi-n keresztül látott rendszerről, hogy honeypot-e vagy sem (különös tekintettel arra az esetre, mikor a fentihez hasonló mennyiségű infó áll rendelkezésedre)?
2. Ha feltöröm a jozsika.uw.hu-n hosztolt gagyi PHP appot, az nem jelenti azt, hogy az UW rendszere szar.
3. A hackereknek nincs szükségük személyes infókra.