Nagyjából a blog indulása óta vártam erre: 0xFF admin jogosultságot szerzett a BuheraBlogon: Ehhez nem kellett más, mint egy jól elhelyezett CSRF támadás (óvatosan kattintsatok!). Szerencsére a kollegialitás győzedelmeskedett, azonnal jelzést kaptam a helyzetről, és még a…

Jó rég volt már jó kis böngészőhackelős poszt, igyekszem kicsit szépíteni a helyzetet:Inferno kicsit tovább gondolta a már többször bemutatott csinos CSS hacket, melynek segítségével szépen bele lehet látni a böngészőkben tárolt előzményekbe. Az agyalás eredménye egy…

Rambo már írt egy kis összefoglalót a külföldi blogszférát lázban tartó "problémáról", melynek segítségével több GoDaddy-s domian név fölött is sikerült átvenni az irányítást az illetékteleneknek. Frissítés: A Google cáfolta az alábbiakat, és bár…

Kikerültek az első információk a világot rettegésben tartó clickjacking támadásról... Az alábbi videó alapján azt hiszem fejet kell hajtsak azok előtt, akiket annak idején "lehurrogtam", mivel az általuk mutatott próbálkozást nem találtam túlzottan innovatívnak. Nos,…

Ronald még mindig Internet Explorert hackel: Bevezető Az előző PoC-nél, ahol az internet Explorer elleni perzisztens Dos Támadást mutattam meg feltűnt, hogy az ieframe.dll egy eddig számomra ismeretlen htm fájlra hivatkozott. Ennek a neve acr_error.htm, ez jeleníti meg a hibaablakot,…

18 millió* ügyfél adatait tulajdonították el egy dél-koreai online aukciós házból. A feltehetően kínai támadó(k) speciális, CSRF kódot tartalmazó e-mailekkel bombázta az üzemeltetőket, majd sessionjeiket megszerezve könnyűszerrel hozzáfért a vásárlók és hírdetők…

A ha.ckers.org-on jelent meg Tim Strinpling egy értekezése a Google Gadgetek lehetséges CSRF támadásáról. A régi mondás, mely szerint, ha a fejlesztők egy hibáról úgy gondolják, hogy lehetetlen kihasználni, jön valami srác Finnországból és kihasználja (vagy valami ilyesmi)…

A vihar csendesedni látszik a Google körül, de a szél a felhőket a Yahoo felé sodorja: Nitesh Dhanjani két CSRF támadást mutatott be a Yahoo ellen. A kihasznált hibák nem a fő webes alkalmazásokat, hanem a mobil eszközökre szánt WAP és mobil web szolgáltatásokat érintik (mint…

Van úgy, hogy az ember úgy érzi, a világ összeesküdött ellene. A Google esetében ez mostanában valószínűleg több mint egyszerű paranoia.Billy Rios a trükkös Picasa sebezhetőség után most egy pofonegyszerű ötlettel rukkolt elő: Az újabb Flash Playerek megengedik, hogy az ún.…

Gareth Heyes bemutatott néhány aggodalomra okot adó, CSS alapú támadást. Az első azon alapszik, hogy a stíluslapk segítségével egy site bármely rész kitakarható, ezzel pedig elfedhető a felhasználó elől, hogy valójában melyik oldallal kommunikál. A második egy SUBMIT gombot…

Íme az első bejegyzés, melyet christ1an blogja alapján készítettem. A téma bár elég régi, úgy tűnik nagy hype van körülötte mostanában, én azonban nem emiatt, hanem a módszer szépsége és agyafúrtsága miatt választottam ezt a trükköt az első rendes bejegyzés…