Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out

Promó

H.A.C.K.

Keresés

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Magyar blogok

Magyar oldalak

Külföldi oldalak

Kultúra

Feedek

XML

Archívum

hacker jelvény

Licensz

Creative Commons Licenc

BuheraBlog 0wned

2012.02.27. 15:52 | buherator | 16 komment

Nagyjából a blog indulása óta vártam erre: 0xFF admin jogosultságot szerzett a BuheraBlogon:

Ehhez nem kellett más, mint egy jól elhelyezett CSRF támadás (óvatosan kattintsatok!). Szerencsére a kollegialitás győzedelmeskedett, azonnal jelzést kaptam a helyzetről, és még a jogosultságom is megmaradt. Reméljük a Gépház mihamarabb javítja a problémát! 0xFF-nek pedig ezúton is gratulálok, és köszönöm a jóindulatot :)

Facebook Tumblr Tweet Pinterest Tetszik
0

Címkék: incidens csrf buherablog fail 0xff xsrf

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

IMBrod 2012.02.27. 15:54:42

Cipesznek jo cipoje... :)
Válasz erre 

IMBrod 2012.02.27. 16:00:47

De te lax benne :-) Mondjuk en huje vagyok, ez a Hacktionbol is kiderult (ezert telleg ebolvasok fonyodinak csutortokon!) :)) Minek az embernek ellenseg ha ilyen baratja van???
Válasz erre 

cadix · http://www.blog.hu 2012.02.27. 16:39:15

A bloghu koszoni a talatot, mar javitjuk is! A talalatert jar a rekesz sor, erdeklodni privatban nalam.
Válasz erre 

pt|Zool 2012.02.27. 16:59:02

Na végre valaki, aki nem akarja meglincselni az embert, ha hibát jelent be. :)
Válasz erre 

devDavid · http://blog.hu 2012.02.27. 18:44:55

Sziasztok! Csináltam egy hotfixet gyorsan, holnap megy ki a rendes javítás.

Köszi srácok,
Dávid
Válasz erre 

Spala Ferenc 2012.02.27. 21:03:13

csatlakozom, hatalmas respect a blog.hu csapatnak a hozzáállásért :)
Válasz erre 

indavatar 2012.02.27. 22:13:46

Minden jó ha a vége jó :)
A NoScript vajon megfogta volna?
Ha a javítást közzé tudjátok tenni azért meg külön köszönet (bad practice vs good practice)
Válasz erre 

buherator · http://buhera.blog.hu 2012.02.27. 22:20:23

@indavatar: Jó eséllyel igen (form autosubmit), de lehet hogy nem (pl. rejtett gomb). A 0xff.org egyébként fehérlistán volt...

Elmélet és védekezés: www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
Válasz erre 

hallari 2012.02.28. 09:40:50

@buherator: és még beszélünk internet"biztonság"-ról... Hahaha. Elég egy (jól)célzott támadás és a legtöbb védelem kapitulál, mint az ugrókódos riasztó a profik előtt. Egyetlen "védelem" van, nagyon úgy tűnik: nem kell célponttá válni. És semmi fontosat nem érdemes a gépen tárolni. Ami meg kell, az mehet a felhőbe, lassan én is átállok, pedig nem szeretem.
Válasz erre 

buherator · http://buhera.blog.hu 2012.02.28. 12:08:59

@hallari: Közhely, hogy a védekezés kockázatarányos kell hogy legyen. Böngészhetnék a levelezőmben, mint Stallman bá', meg heggeszthetnék OpenVMS-t a laptopomra de nekem ez nem éri meg, helyette bevállalom, hogy 5 évente egyszer posztolok egy kellemetlent(?).

A "felhőket" meg hagyjuk már a francba, ez a támadás elvileg ugyanúgy működhetne az AWS-en is.
Válasz erre 

hallari 2012.02.28. 13:35:57

@buherator: ja, elég nagy átverés a felhő is, csak a DVD-re írást még kevésbé szeretem, mert jártam már úgy, hogy éven belül is(!) olvashatatlanná vált. És nem NONAME!!!!! Valami TDK vagy nem tudom mi volt. Persze lehet, hogy hamisított, de ki mondja meg, melyik nem az. :(
Válasz erre 

buherator · http://buhera.blog.hu 2012.02.28. 13:49:25

@hallari: A backup, meg annak a jósága, a történtek szempontjából tök lényegtelen.
Válasz erre 
süti beállítások módosítása