Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

OK.hu és iWiW XSS-ek

2010.04.13. 12:31 | buherator | 6 komment

Sokáig gondolkoztam, hogy kirakjam-e ezt a két, m1key által beküldött szösszenetet, de az Apache incidens meggyőzött, hogy egy-egy ilyen jelentéktelennek tűnő hibáról is érdemes szót ejteni, ha elég népszerű domainekről van szó.

http://www.ok.hu/katalogus?q=%3Cscript%3Ealert%28%27hacked%20by%20r00ts1t3.com%27%29%3C/script%3E&mode=1

http://ghblog.iwiw.hu/?s=1%3C/title%3E%3CScRiPt%20%0D%0A%3Ealert%28%27hacked%20by%20m1key%27%29%3B%3C/ScRiPt%3E

Nyilvánvalóan egyik esetben sem perzisztens a kódbeszúrás, de ahogy az ASF esetében is láthattuk, egy ilyen apró hiba is könnyen ütőképes fegyverré válhat egy eltökélt támadó kezében.

Címkék: iwiw xss ok.hu

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

lightgod 2010.04.13. 13:20:08

Az OK weboldala 1 eve is ilyen volt... Irtam is nekik asszem 2x is levelet, de ****tak ram... (elnezest az iletlen csillagos szavakert)... a gephazas meg... Valahogy... Nem lepodtem meg... Valahogy lassan minden honapra jut egy iwiw-es hiba...

/* De a kedvencem, amikor az iwiw-en asszem talan a profiloldallal kapcsolatban volt js kodfuttatasi lehetoseg... es en is szepen megkatam emailben, hogy valaki levlet kuldott nekem es nezzem meg kiaz, mert biztos hianyzok neki... Teljesen jo volt a level azzal a hibaval, hogy nincs IWIW accountom... */

ok_hu 2010.04.14. 13:18:25

buherator: kösz! a jelzést, minden hiba fontos, javítjuk.

lightgod: bocs, hogy akkor nem válaszoltunk, valahol belül elakadt a mail

buherator · http://buhera.blog.hu 2010.04.14. 14:04:08

@ok_hu: örülök ha segíthetek, köszönöm a visszajelzést!

HaxorBenő 2010.04.14. 14:12:51

És remélem tudjátok mi az igazi FAIL : d
Megnézed ghblog.iwiw.hu forrásába a verzió számot ami "WordPress 2.6.1"
És hogy van fent exploit-db -n hozzá exploit..
www.exploit-db.com/exploits/6397

lurk (törölt) 2010.04.14. 20:51:36

"És hogy van fent exploit-db -n hozzá exploit.."

Egy baj van ezzel az "exploit"-tal:

"admin's password changed, but new password will be send to correct admin email"

_2501 2010.04.15. 10:13:49

@HaxorBenő: Meg se nézted azt a splojtot, csak osztanád az észt. Te vagy az igazi FAIL...