Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A Google még mindig velünk van

2011.09.22. 15:53 | buherator | 1 komment

syddd küldte az alábbi érdekességet:

Arról van szó, hogy sok Flash alapú applikáció AMF protokollal kommunikál a szerverrel. Ennek a protokollnak a legelterjedtebb implementációja az AMFPHP csomag. Ebben van egy "service browser" nevű alkalmazás, amit fejlesztéskor lehet használni arra, hogy tesztelje (és listázza) a szerveren található metódusokat.  Persze az AMFPHP manualjában benne van, hogy ezt ki kell törölni mielőtt élesítik a rendszert, csakhát ezt sokan elfelejtik.. így egy szimpla Google kereséssel megtalálható a service browser: "amfphp/browser/servicebrowser.swf" 

Utólagos engedelmével (mivel a levelet eldobható címről kaptam) a dorkot beküldtem GHDB-re is, ugyanis ott még nem szerepelt hasonló rekord.

Nem rég egyébként az FTC úszó szakosztályának honlapjához tartozó admin felület kapott némi védelmet, miután ScottAnyó ügyesen guglizott, majd értesítettük az üzemeltetőt.

És ha már itt tartunk, szeretném megköszönni KardhalParadox, Detritus és Zorg, a Rettenetes munkáját is, akik egy-egy SQL injection felfedezésével tették biztonságosabbá a magyar a webet!

Címkék: az olvasó ír ghdb google hacking

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

bboldii11-2011 2011.09.24. 00:54:34

Miután a fulldisclosure-t eláraszotta a prodotto.php, ránéztem a termek.php -re, és sajnos úgy 50% körül volt a sebezhetőség aránya. Egy-kettőre még volt erőm írni, de azért meglepett a mennyiség...