Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Q4 jelentés (kis ráhagyással)

2011.12.20. 10:00 | buherator | 1 komment

Mint azt korábban már említettem, kicsit rendbeszedtem a kedves olvasóktól érkező hibajeletéseket, így most, az év vége közeledtével tudok pár (remélhetőleg) érdekes számmal szolgálni:

Augusztus vége óta 17 sebezhetőség jelentésében segédkeztem, ezek közül 9-re érkezett pozitív visszajelzés (megértették a problémát, megteszik amit lehet), a többieknél - nagy részükkel már itt, a blogon is találkozhattatok - néma csend. Mindez havi átlag 4-5 sebezhetőséget jelent, és elmondhatjuk, hogy az érintettek több, mint fele veszi a lapott. Utóbbi adat akár bíztatónak is tűnhet, de a teljes képhez hozzá tartozik, hogy kritikus rendszerek esetén átadom a stafétát a nálam lényegesen nagyobb meggyőzőképességgel rendelkező hivatásosoknak - az ő segítségüket ezúton is köszönöm, nélkülük valószínűleg sokkal szomorúbban festene a helyzet. Jövőre a csőben van még hat jelentés, remélem javul majd a tendencia!

De a száraz adatok után jöjjenek az érdekességek:

Először is HaWa küldött egy halom iWiW XSS sebezhetőséget, amivel remek spamkampányokat lehetett volna lebonyolítani - már ha valaki használná ezt a szegény szolgáltatást. Minden esetre dícséretes, hogy a hibákat javították, és megköszönték HaWa munkáját.

Sajnos azonban nem mindenki ennyire figyelmes. Az IIR-Hungary például még külön debug oldalt is fenntart a támadók kedvéért, ezt DZoli találta:

Csiszi91 a Maxteamnél (bocs, Telenor Partner) "gépelte el" az URL-t:

 

Kardhal pedig a Green Energy Finance WYSIWYG szerkeszőjének totál védtelenül hagyott fájlmenedzserét találta meg:

 

Végezetül pedig itt egy 18 mínuszos információszivárgás a TomTV-ről, ismeretlen szerzőtől:

Címkék: sql injection buherablog tinymce az olvasó ír

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

indavatar 2011.12.21. 23:35:56

Szép termés, néhány csepp a tengerben.
Hozzon Jézuska megerősített Linuxot, nyílt forráskódot az egész közigazgatásnak és a közoktatásnak. Állami szinten díjazni kellene a toplistás hibabeküldőket. Kerüljön még a fa alá egy méregerős adatvédelmi törvény és kukába a Nagy testvérekkel. Aki érti, adja tovább. Munkahelyen, konferencián, meg ahol lehet. Boldog Karácsonyt mindenkinek!