Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Szürkekalapos jelentés - 2013/H1

2013.06.05. 09:00 | buherator | 4 komment

A szürkekalapos projekt nem állt meg, csak kicsit dilemmában voltam az elmúlt időszakban egy eddig fel nem merült részletkérdést illetően. Az unalmas részletek kifejtését nélkülözve álljon itt a megoldás:

Mindenféle emberi aggyal támogatott ellenőrzést nélkülöző scanner kimeneteket se lehetőségem se akaratom nincs végigbogarászni. Egy tetszőlegesen fura bug vagy akár felettéb gyanús hibaüzenet sem jelenti azt, hogy egy adott hiba biztonsági kockázatot jelent, ezt mindig érdemes szem előtt tartani!

Persze a tonnányi sqlmap kimenet mellett azért érkeztek értékes darabok is, lássuk mit hozott az elúlt bő hat hónap!

A CERT Hungary-val együttműködve összesen 7 db állami gondozású illetve kritikusnak tekinthető szolgáltatással kapcsolatban sikerült hibát bejelenteni, ezért hatalmas köszönet szicsunak, vfdferg grtger-nek, Zoolnak, Maronak, Dear f-nek és BCS-nek!

Dxt3r M0rg4n, buksikutya, Zool, Scott, Maro, dragon és Adrián erőfeszítéseinek köszönhetően további 7 db szolgáltatónál sikerült javulást elérni.

Sajnos azonban még mindig vannak versenyzők, akik nem törődnek holmi hibabejelentésekkel:

Formater találatai

klubmedia.com SQLi:

klubmedia.jpg

sat.hu SQLi, hacker-friendly hibaüzenettel:

sat.jpg

sopronrally.hu szintén elég bőbeszédű:

sopronrally.jpg

A playboy.hu nem csak a lányokból mutat eleget:

playboy.jpgMaro találatai

Az albapapirhigienia.hu-n előfordulhatnak törlési gondok:

albapapirhigienia.png

Az utazasguru.hu egy igen trükkös kihasználási lehetőségekkel kacsegtető UPDATE (bár nyilván más helyen is lyukas a site):

utazasguru.png

Az utazzerdelybe.hu igen harsányan hirdet:

utazzerdelybe.png

A hangmester.hu viszont kevésbé zajos:

hangmester.png

A nyomdaker.hu SQL query-jét muszáj egyben kiraknom:

nyomdaker.png

Akinek esetleg gondjai vannak a playboy.hu-val, annak ajánlható a potencianagyker.hu:

potencianagyker.png

Végül az MVISZ fektethetne valamivel nagyobb hangsúlyt a biztonságra:

mvisz.png

Bónusz a nap keresőkifejezése GitHub-on (ha valaki még nem látta volna Twitteren).

Címkék: az olvasó ír

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

álfirkász · http://narancsosliba.blog.hu/ 2013.06.06. 12:49:45

Jól értem a "bónuszt"? Ez csupa SQL injection lehetőség?
Lehet, hogy nem is annyira indokolatlan a netre kötött szám.tech. eszközeimmel kapcsolatos paranoiám? :(

álfirkász · http://narancsosliba.blog.hu/ 2013.06.06. 14:02:32

@álfirkász: mielőtt megint lehülyéznél finoman...
Tisztában vagyok vele, hogy ez mind az, csak nem akartam hinni a szememnek... :)

eax_ 2013.06.06. 16:11:02

@álfirkász: Te amugy miert vagy itt?