Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Picasa érdekesség

2012.04.03. 15:00 | buherator | 3 komment

Rég óta adós vagyok MarkKxldOR felfedezésével. Ennek oka, hogy sajnos a Picasa-Google+ páros használatához kevésnek bizonyult a türelmem/tehetségem, így nem tudtam kipróbálni a dolgot, de bárki előtt nyitva áll a lehetőség:

A sebezhetőség (jobbára kellemetlenségnek nevezném) tulajdonképp annyi, amennyit címnek adnék neki és a mellékletekből kitűnhet:

"'Egy link birtokában bárki' = minden 'egy link' birtokában."

Tehát, ha egy galériához egy "rejtett", bizonyos körnek szóló linket kapsz, akkor a hasonló prioritásúakat simán el lehet érni, függetlenül attól, hogy azok már nem neked szólnak.

Nekem nemrég segített is, ezért merült fel. Egy friss barátnőjelölt küldött valami kedves galériához linket csak nekem,

viszont én reflexszerűen(?) kikattintottam az "összes" nézetbe (mint a sajátomnál általában). Érdekes dolgokkal találtam szembe magam..., a "bimbódzásnak" azonmód vége szakadt. :D

Sőt, ha valaki netán nekiáll és brute-mód generálgatni (ld. ".../authkey/") vagy bemászni az adott publikus oldal alá..., nem kizárt, hogy kijönnek valahogy a privátok is, ha már ezt a "view"-t elérte.

Őszintén szólva egyáltalán nem lepődök meg a dolgon, Facebookon már láttunk ilyet.

Címkék: privacy picasa az olvasó ír

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

penge™ · http://www.thevenusproject.com/ 2012.04.03. 16:25:23

Ha egy unlisted albumnál próbálom, akkor kilépéskor ez az üzenet fogad: "Sorry, that page was not found.", ha az URL-hez hozzáillesztem az authkey-t, akkor "The link you are attempting to access is outdated. You have been redirected to this user's Public Gallery."

Ha az összes(!) unlisted albumot listázom ki (az is kap egy saját egyedi authkey-t), akkor navigálhatok bármerre.

Egy adott képlinkből viszont lehet a képet tartalmazó albumba kinavigálni (de más albumokba már nem, mert más az authkey), de azt is csak akkor, ha nem pipálod be a "Hide album link"-et és onnan másolod ki, hanem szimplán az URL mezőből (vagy a pipa nélkül, mert akkor ugyanaz a link).

synapse · http://www.synsecblog.com 2012.04.04. 13:06:40

De hat a felho az biztonsagos nem?