Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Ingyenjegy

2010.05.05. 11:23 | buherator | 10 komment

$P küldött egy érdekes levelet, amiben arra hívta fel a figyelmemet, hogy egy nagy, Magyarországon (is) tevékenykedő online jegyértékesítő rendszerében közvetlenül hozzá lehet férni a kigenerált belpőkhöz, mivel az őket tároló szerveren elfelejtették kikapcsolni a könyvtárlistázást.

Írtam is az üzemeltetőnek, mire a következő választ kaptam:

A lenti levélre kell valamit írni? 

Felteszem, az üzenetet nem nekem szánták, de azért megírtam a konkrét problémát, hogy lássák, mi a helyzet, meg hogy szóljanak a rendszergazdának, aki feltehetően 2 perc alatt elintézné a problémát*. Ez hétfőn történt, a site azóta is úgy áll, és néma csend. Jobb screenshotokat azért nem tudok posztolni, mert magukon a jegyeken és a fájlnevekben is túl sok az infó, de azt azért megemlítem, hogy a generált PDF-eken nagybetűkkel fel van írva, hogy ne engedjük lemásolni a kinyomtatott papírt, mert egyedül a rajta szereplő vonalkód azonosítja a kedves vásárlót. Tehát ha valaki megtalálja az oldalt (bárki, aki rendelt már jegyet ettől a cégtől), ingyen mehet mulatni, csak meg kell előznie a valódi vásárlót a sorban.

Remélem a fentiek adnak egy kis ösztönzést a cselekvésre.

Frissítés (05.05 23:57): újra megnéztem az oldalt, még mindig nem történt semmi, viszont kiderült, hogy az összes nagy nyári fesztiválra itt is lehet jegyet rendelni :)

(A szigetesek persze okosak, és személyihez kötik a bemenést, de szerintem lehetne találni megoldást)

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Derik Erik 2010.05.05. 13:56:50

Egyáltalán miért tárolják ezeket?
Vásárló letölti vagy megkapja mailben aztán rögtön lehetne törölni.

Pas · http://pasthelod.hell-and-heaven.org 2010.05.05. 14:02:10

Május 14-i Metallicára sorsolj már ki egy párat :)

Udi · http://blog.udi.hu 2010.05.05. 16:43:46

@Derik Erik: Nyilvánvaló. Ez benne a vicc.

gphilip · http://search-download.com 2010.05.05. 23:36:22

nem az a kérdés, h miért tárolják, hanem hogy például miért a wwwrooton belül tárolják, és miért lehet ezekhez a fájlokhoz közvetlenük hozzáférni? :)

synapse · http://www.synsecblog.com 2010.05.06. 19:38:12

Van par oka ami miatt taroljak, pl ha a juzernek betelt a postafiokja vagy barmi mas ok folytan nem kapta meg akkor ujra kell tudni kuldeni.

De a fesztival0day az 0wnz :D

relab 2010.05.11. 16:18:51

Az online elővételes jegyeket csak személyi igazolvány felmutatásával lehet karszalagra érvényesíteni