A szürkekalapos projekt nem állt meg, csak kicsit dilemmában voltam az elmúlt időszakban egy eddig fel nem merült részletkérdést illetően. Az unalmas részletek kifejtését nélkülözve álljon itt a megoldás:

Mindenféle emberi aggyal támogatott ellenőrzést nélkülöző scanner kimeneteket se lehetőségem se akaratom nincs végigbogarászni. Egy tetszőlegesen fura bug vagy akár felettéb gyanús hibaüzenet sem jelenti azt, hogy egy adott hiba biztonsági kockázatot jelent, ezt mindig érdemes szem előtt tartani!

Persze a tonnányi sqlmap kimenet mellett azért érkeztek értékes darabok is, lássuk mit hozott az elúlt bő hat hónap!

A CERT Hungary-val együttműködve összesen 7 db állami gondozású illetve kritikusnak tekinthető szolgáltatással kapcsolatban sikerült hibát bejelenteni, ezért hatalmas köszönet szicsunak, vfdferg grtger-nek, Zoolnak, Maronak, Dear f-nek és BCS-nek!

Dxt3r M0rg4n, buksikutya, Zool, Scott, Maro, dragon és Adrián erőfeszítéseinek köszönhetően további 7 db szolgáltatónál sikerült javulást elérni.

Sajnos azonban még mindig vannak versenyzők, akik nem törődnek holmi hibabejelentésekkel:

Formater találatai

klubmedia.com SQLi:

sat.hu SQLi, hacker-friendly hibaüzenettel:

sopronrally.hu szintén elég bőbeszédű:

A playboy.hu nem csak a lányokból mutat eleget:

Maro találatai

Az albapapirhigienia.hu-n előfordulhatnak törlési gondok:

Az utazasguru.hu egy igen trükkös kihasználási lehetőségekkel kacsegtető UPDATE (bár nyilván más helyen is lyukas a site):

Az utazzerdelybe.hu igen harsányan hirdet:

A hangmester.hu viszont kevésbé zajos:

A nyomdaker.hu SQL query-jét muszáj egyben kiraknom:

Akinek esetleg gondjai vannak a playboy.hu-val, annak ajánlható a potencianagyker.hu:

Végül az MVISZ fektethetne valamivel nagyobb hangsúlyt a biztonságra:

Bónusz a nap keresőkifejezése GitHub-on (ha valaki még nem látta volna Twitteren).