Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Szürkekalapos jelentés - 2012. év vége

2012.12.31. 14:22 | buherator | Szólj hozzá!

Az év második felében kevésbé voltatok aktívak, így az utolsó két negyedév eredményeit így egyben közlöm. 9 bejelentésből az érintett weboldalak üzemeltetői 3 4 esetben reagáltak, egy esetben pedig a CERT vette kezébe az ügyeket. Ezúton is köszönöm kispaci, Dávid, zozi56, gyorkop, EQ, Dxt3r M0rg4n, Scott Anyo és buksikutya fáradozásait, csak így tovább srácok!

A hajtás után jöjjön a feketeleves!

Kispaci hívta fel rá a figyelmet, hogy bár a hirlevelcentrum.hu előszeretettel küld kéretlen marketinganyagokat, a naplófájljaikat indexelhető könyvtárban tartották a web gyökerükben. Bár a problémát azóta megszüntették, a különböző keresők még mindig érdekes információkkal szolgálnak.

hirlevelcentrum_naplo.jpg

Dávid a cucineoutlet.hu-n talált  ízlésesen formázott SQL hibaüzeneteket - ezt nevezem támadóbarát weboldalnak:

cucineoutlet.jpg

Hasonlóan könnyű prédát fedezett fel gyorkop a ligetszarvas.hu-n:

ligetszarvas.jpg

EQ hívta fel rá a figyelmem, hogy a kiskapu.hu egy év után még mindig sebezhető:

kiskapu2012dec.jpg

Kedves érintett fejlesztők és üzemeltetők! Az SQL injection és a könyvtárlistázás engedélyezése 2012-ben nagyon ciki, 2013-ban még inkább az lesz. Éppen itt az ideje megfogadni, hogy a jövőben legalább az ilyen alapvető dolgokra odafigyeltek.

Boldog Új Évet mindenkinek!

Címkék: bug sql injection az olvasó ír directory listing

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.