Örömmel látom, hogy az elmúlt hónapokban sem tétlenkedtetek: április eleje óta 23 hibajelzést kaptam (illetve ennyinek volt magas biztonsági kockázata), ezek közül azonban csak 6 esetben sikerült javítania az üzemeltetőknek, 3 esetben a CERT Hungary járt el (az ő köreműködésüket külön köszönöm), a többiek nem reagáltak a megkeresésemre, 3 esetben még használható kontakt címet sem sikerült felkutatnom.

Minden esetre ezúton gratulálok endrének, kardhalnak, ~nyuszinak, Medvének és Deviance-nek, amiért sikerült hozzájárulniuk a magyar web biztonságosabbá tételéhez, a hajtás után felsoroltaknak pedig köszönöm, hogy megpróbálták, a dolog nem rajtuk múlott.

A második negyedéves termésben fajsúlyosabb darabok is akadnak, a továbbra kattintás csak saját felelősségre ajánlott.

Ventax a Honfoglalón talált egy perzisztens XSS lehetőséget, amiben van ugyan annyi hiba, hogy csak a spéci tárggyal ellátott üzenet megnyitásakor triggerelődik, egyébként látszik a turpisság a felületen. Ettől függetlenül biztos vagyok benne, hogy kellő fantáziával ki lehetne dolgozni értelmes támadási vektort:

GHost a Kiskegyedet böngészve futott bele egy tipikus SQL injectionbe, rövid guglizás után azonban kiderült, hogy az Axel Springer Network szinte összes oldala érintett lehet:

A GHDB-re illene w3bb3r Google dorkja, amivel a com_fabrik Joomla! modulra lehet keresgélni. Ez a kiegészítő van olyan kedves, hogy megfelelő paraméterezéssel tetszőleges fájlfeltöltést engedélyez - igen, PHP-t is, további infókért tessék beletúrni a forrásba ;)

~nyuszi nem volt szívbajos, a szokásos SQLi-k kihasználása után benézett a zolcertv.hu és a bcs.hu admin felületére is, alig győztem kitakarni a személyes adatokat:

Ha egy hoszting szolgáltató weboldala bugos, felmerülhet a kérdés, hogy vajon a kedves ügyfelek szeparációja mennyire lehet erős - endre a farkasweb.hu-nál nem fog szolgáltatást vásárolni:

endre felfedezése az egymozdulat.hu, és a Dunaújvárosi Főiskola injectionje is:

Krasznay doktor illetve ptZool Twitteren is figyelmeztetett az infoter.eu hibáira, kevés eredménnyel:

kardhal küldte be a Csillagocska Alapítvány, a Newstart, a Gyémánt Ingatlan és a Felfedezések hibáit, ezekre sajnos láthatóan kevés időt fordítanak a tulajdonosok:

sm0kers bérelni akart valamit, de végül ingyen megkapta a berbeadom.hu adatbázisát: