Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Admin jog tetszőleges Blogger.com blogon

2011.03.14. 19:47 | buherator | 2 komment

Nir Goldshlager egy HTTP parameter pollution hibát fedezett fel a Google Blogger.com szolgáltatásában, mellyel tetszőleges blog felett át lehetett venni az irányítást. Ahogy arról már volt szó, HTTP parameter pollution esetén egy HTTP POST vagy GET kérésben többször adunk értéket ugyanazon változónak, a sebezhető alkalmazás pedig egyszer az egyik, később pedig a másik értéket használja fel a műveletei elvégzéséhez.

Ebben az esetben a szerkesztők meghívására szolgáló funkciónak a támadó saját blogjának azonosítója után az áldozat blogjának azonosítóját megadva a támadó meghívhatja magát másnak a blogjába, majd hasonló módon kiterjesztheti a jogosultságiait adminisztrátori szintig.

A hiba felfedezéséért Goldshlager bezsebelhette a Google híres $1337 díját.

Címkék: google blogger.com http parameter pollution

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

fidesz = házmesterek pártja 2011.03.23. 13:55:49

Újabb ok, hogy kerüljem a blogger.com használatát.
Az első az volt, amivel már telesírtam a netet: ismerősök blogját (amiben egy darabig én is szerepeltem) letiltotta a google, holott semmi olyan tartalom nem volt rajta, ami erre okot adhatott volna (fotós blog egyébként). A gazdái próbálkoztak mindennel, hogy a több éves munkájuk ne vesszen el, de mindenhonnan lepattantak (kösz gúgli!)

Volt egy sajátom is, amiből szerettem volna egy tesztpéldányt készíteni a blogger export/import eszközeivel. "Természetesen" az export beleszemetelt, így a saját scriptjeim, meg egy-két egyéb apróság nem került át a másolatba. Ennél a pontnál végleg feladtam és másoknak is csak javasolni tudom, hogy keressenek más helyet a blogjuknak...

fidesz = házmesterek pártja 2011.03.23. 13:56:32

A blog.hu-nak meg ezúton köszönöm, hogy már megint lenyelte a hozzászólásomat... :(