Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

ICQ XSS

2011.07.27. 21:13 | buherator | Szólj hozzá!

Levent Kayan a Skype után most az ICQ üzenetküldőben talált XSS hibát, melyen keresztül ellophatók a csatlakozó kontaktok munkamenet azonosítói. A közzétett leírás szerint a Skype esetéhez hasonlóan a profil adatokbaszúrt kliens oldali kódok nincsenek megfelelően szűrve - hiába, a fejlesztők hajlamosak ugyanazokat a típushibákat elkövetni, a bugvadász dolga néha csak a minta követéséből áll.

Kayan ezen kívül az ICQ weboldalán is talált perzisztens Cross-Site Scriptinget, melyet minimális social engineeringgel kombinálva szintén átvehető az irányítás idegen ICQ fiókok felett.

Kicsit szégyellem magam emiatt a gagyi XSS-es poszt miatt, mivel annyi fincsi téma vár még feldolgozásra, de kiesik a szemem a sok monitorbámulástól, szóval egy kis türelmet kérnék...

Címkék: icq xss

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.