Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

BuheraBlog 0wned

2012.02.27. 15:52 | buherator | 16 komment

Nagyjából a blog indulása óta vártam erre: 0xFF admin jogosultságot szerzett a BuheraBlogon:

Ehhez nem kellett más, mint egy jól elhelyezett CSRF támadás (óvatosan kattintsatok!). Szerencsére a kollegialitás győzedelmeskedett, azonnal jelzést kaptam a helyzetről, és még a jogosultságom is megmaradt. Reméljük a Gépház mihamarabb javítja a problémát! 0xFF-nek pedig ezúton is gratulálok, és köszönöm a jóindulatot :)

Címkék: incidens csrf buherablog fail 0xff xsrf

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

IMBrod 2012.02.27. 15:54:42

Cipesznek jo cipoje... :)

IMBrod 2012.02.27. 16:00:47

De te lax benne :-) Mondjuk en huje vagyok, ez a Hacktionbol is kiderult (ezert telleg ebolvasok fonyodinak csutortokon!) :)) Minek az embernek ellenseg ha ilyen baratja van???

cadix · http://www.blog.hu 2012.02.27. 16:39:15

A bloghu koszoni a talatot, mar javitjuk is! A talalatert jar a rekesz sor, erdeklodni privatban nalam.

pt|Zool 2012.02.27. 16:59:02

Na végre valaki, aki nem akarja meglincselni az embert, ha hibát jelent be. :)

devDavid · http://blog.hu 2012.02.27. 18:44:55

Sziasztok! Csináltam egy hotfixet gyorsan, holnap megy ki a rendes javítás.

Köszi srácok,
Dávid

Spala Ferenc 2012.02.27. 21:03:13

csatlakozom, hatalmas respect a blog.hu csapatnak a hozzáállásért :)

indavatar 2012.02.27. 22:13:46

Minden jó ha a vége jó :)
A NoScript vajon megfogta volna?
Ha a javítást közzé tudjátok tenni azért meg külön köszönet (bad practice vs good practice)

buherator · http://buhera.blog.hu 2012.02.27. 22:20:23

@indavatar: Jó eséllyel igen (form autosubmit), de lehet hogy nem (pl. rejtett gomb). A 0xff.org egyébként fehérlistán volt...

Elmélet és védekezés: www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)

hallari 2012.02.28. 09:40:50

@buherator: és még beszélünk internet"biztonság"-ról... Hahaha. Elég egy (jól)célzott támadás és a legtöbb védelem kapitulál, mint az ugrókódos riasztó a profik előtt. Egyetlen "védelem" van, nagyon úgy tűnik: nem kell célponttá válni. És semmi fontosat nem érdemes a gépen tárolni. Ami meg kell, az mehet a felhőbe, lassan én is átállok, pedig nem szeretem.

buherator · http://buhera.blog.hu 2012.02.28. 12:08:59

@hallari: Közhely, hogy a védekezés kockázatarányos kell hogy legyen. Böngészhetnék a levelezőmben, mint Stallman bá', meg heggeszthetnék OpenVMS-t a laptopomra de nekem ez nem éri meg, helyette bevállalom, hogy 5 évente egyszer posztolok egy kellemetlent(?).

A "felhőket" meg hagyjuk már a francba, ez a támadás elvileg ugyanúgy működhetne az AWS-en is.

hallari 2012.02.28. 13:35:57

@buherator: ja, elég nagy átverés a felhő is, csak a DVD-re írást még kevésbé szeretem, mert jártam már úgy, hogy éven belül is(!) olvashatatlanná vált. És nem NONAME!!!!! Valami TDK vagy nem tudom mi volt. Persze lehet, hogy hamisított, de ki mondja meg, melyik nem az. :(

buherator · http://buhera.blog.hu 2012.02.28. 13:49:25

@hallari: A backup, meg annak a jósága, a történtek szempontjából tök lényegtelen.
süti beállítások módosítása