Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


Pwnok harca

2012.03.12. 12:00 | buherator | 6 komment

Az idei CanSecWest versenyei adtak egy kis betekintést a profi sebezhetőség-kutatás világába, de fel is vetettek több kérdést, dilemmát a műfajjal kapcsolatban. Megpróbálom összefoglalni az elmúlt napok tanulságait néhány bekezdésben, aztán persze az lenne a legjobb, ha ti is…

Címkék: google gondolat pwn2own cansecwest pwnium vupen dvlabs tippingpoint

Pwn2Own és Pwnium - Frissítve

2012.03.08. 16:59 | buherator | 11 komment

Itteni idő szerint tegnap este elindultak az idei CanSecWest konferencia játékai, a világhírű Pwn2Own és a Google által idén először megrendezett Pwnium. Ahogy az várható volt, a játékok osztódása elég nagy zavart kavart a fejekben, tisztázzuk még egyszer a szabályokat: A…

Címkék: google esemény internet explorer chrome pwn2own cansecwest pwnium vupen sergey glazunov dvlabs

Hírek - 2012/9. hét

2012.03.04. 22:03 | buherator | Szólj hozzá!

NASA Több helyen megjelent, hogy a NASA legújabb laptopelhagyási botrányában érintett adatok felhasználásával akár a Nemzetközi Űrállomást is irányítani lehetett volna. Ezzel szemben Paul K. Martin az űrkutatási központ részéről azt nyilatkozta, hogy bár a támadók teljes…

Címkék: google sony michael jackson incidens nasa iss jacko chrome backtrack bitcoin linode pwnium

Hírek - 2012/7. hét

2012.02.19. 20:34 | buherator | 2 komment

Böngésző biztonság A Chrome, a Firefox, a Thunderbird és a Tor  (FF alapú) böngészője is frissült a nyílt forrású libpng könyvtár integer túlcsordulásos sebezhetőségét kiküszöbölendő. A Chrome-ban ezen kívül még 12 problémát javítottak. (Az IE kedden frissült) A…

Címkék: google firefox hírek incidens mozilla nortel pki google chrome google wallet

Hírek - 2012/6. hét

2012.02.12. 15:00 | buherator | 4 komment

Irán blokkolja az titkosított forgalmakat Iráni netezők az elmúlt héten a forgalomblokkolás jelentős növekedéséről számoltak be. A hírek szerint az állami kontroll alatt álló szolgáltatók félbeszkítják a népszerű külföldi kommunikációs szolgáltatásokhoz - pl. Facebook,…

Címkék: microsoft google hírek ssl privacy cenzúra adobe irán debian chrome sandbox novell flash player chromium os convergence

Ütközések II. - HTTP kiszolgálók hash-táblái

2011.12.28. 20:00 | buherator | 3 komment

Az n.runs szakértői egy webkiszolgálók és futtatókörnyezetek széles körét érintő, szolgáltatásmegtagadásra lehetőséget adó problémára hívták fel a figyelmet. A problémát a HTTP paraméterek belső adatstruktúrákká (pl. PHP-ban a $_POST asszociatív tömbbé) történő…

Címkék: microsoft google java php apache python asp.net tomcat oracle dos plone geronimo cruby jruby

Kamu Google tanúsítványok - Frissítés

2011.08.30. 10:23 | buherator | 6 komment

A Google nevére illetéktelen felek számára kiállított tanúsítvány jelent meg nem rég a neten. Először egy iráni felhasználónak lett gyanús, hogy a böngészője figyelmeztetést dob a GMail.com meglátogatásakor, mivel az oldal tanúsítványa megváltozott. Az új hitelesítő…

Címkék: google gmail incidens mozilla pki crl diginotar

Mennyi a CVE?

2011.08.15. 21:55 | buherator | 3 komment

Az elmúlt héten sokan felkapták a fejüket, mikor Tavis Ormandy - aki a Google szakértője, és mellesleg nem szokott finomkodni, ha hibajelentésről van szó - Twitteren bejelentette, hogy az Adobe Flash aktuális javítócsomagjában kb. 400 hibát javítottak, miközben a bulletin mindössze…

Címkék: google flash adobe fuzzing tavis ormandy cve

Célzott GMail adathalász támadások, újra

2011.06.02. 01:52 | buherator | Szólj hozzá!

A Google hivatalos blogján megjelentetett posztban értekezik a GMail fiókok biztonságossá tételéről, illetve érintetlenségük ellenőrzési lehetőségeiről, mindezt annak apropóján, hogy célzott adathalász támadásokkal átvették az irányítást néhány száz amerikai és…

Címkék: google kína politika gmail adathalászat

Csak a szánkat koptatjuk: Alapértelmezett jelszavak

2011.05.03. 15:14 | buherator | 7 komment

Tragikomédia következik, két felvonásban. Először is kardhal küldött pár levelet, néhány jólfésült magyar site adminisztrátori panelének screenshotjával, melyeket az "inurl:admin/login.asp" Google dork finomításával könnyedén megtalálhat bárki. Persze a felület…

Címkék: google rendőrség alapértelemezett jelszó

Admin jog tetszőleges Blogger.com blogon

2011.03.14. 19:47 | buherator | 2 komment

Nir Goldshlager egy HTTP parameter pollution hibát fedezett fel a Google Blogger.com szolgáltatásában, mellyel tetszőleges blog felett át lehetett venni az irányítást. Ahogy arról már volt szó, HTTP parameter pollution esetén egy HTTP POST vagy GET kérésben többször adunk értéket…

Címkék: google blogger.com http parameter pollution

Politikai indíttatású támadásokra használják az MHTML problémát

2011.03.14. 19:30 | buherator | Szólj hozzá!

 Január végén számoltam be róla, hogy a Windows MHTML protokollkezelőjének hibáját kihasználva olyan weboldalakon is elhelyezhető rosszindulatú kliens oldali szkript, amelyek egyébként megfelelően védettek az ilyen típusú támadásokkal szemben. A hibát azóta nem…

Címkék: microsoft google politika bug mhtml

cross_fuzz: száz hiba potyogott ki különböző böngészőkből - Frissítve

2011.01.04. 00:33 | buherator | 4 komment

 Mihal Zalewski közzétette cross_fuzz nevű böngésző fuzzerét, mellyel állítása szerint eddig kürölbelül száz hibát talált az Internet Explorer, a Firefox, az Opera és gyakorlatilag az összes WebKit alapú böngészőkben. A szoftver működéséről a kutató a következő…

Címkék: microsoft google firefox opera internet explorer webkit fuzzing cross fuzz

GHDB újratöltve

2010.11.09. 11:30 | buherator | 7 komment

Az Offensive Security csapata a milw0rm után átvette Johnny 'ihackstuff' Long Google Hacking adatbázisának karbantartását is. Mivel az eredeti GHDB létrehozója jelenleg a Hackers for Charity keretein belül leginkább afrikai gyerekek oktatását támogatja, az adatbázis az utóbbi…

Címkék: google offensive security ghdb

IE 0-dayt használtak a Google ellen

2010.01.15. 13:09 | buherator | 1 komment

by trey@HUPA Google a napokban jelentette be, hogy kifinomult és célzott támadást indítottak ellene, illetve körülbelül két tucat amerikai nagyvállalat ellen Kínából. Ezért a keresőóriás átértékelte Kínával kapcsolatos hozzáállását és bejelentette, hogy kész kivonulni az…

Címkék: google kína internet explorer 0day mcafee

Hírek, ömlesztve

2010.01.13. 11:03 | buherator | 6 komment

A Readeremben kb minden 5. hír ez volt, és (-1) is elküldte: Kínai hackerek kifinomult támadást intéztek helyi emberjogi aktivisták Google fiókjai ellen, és jogosulatlan hozzáférést szereztek a cég bizonyos adataihoz (valójában egy támaddássorozatról volt szó, amely több más…

Címkék: microsoft google kína hírek patch adobe gsm oracle a5/3

A Native Client eredményei

2009.07.08. 14:31 | buherator | 1 komment

Több mint 600 biztonsági szakértő jelentkezett a Google új, kísérleti platformjának, a Native Clientnek tesztelésére kiírt versenyre. A korszakalkotónak szánt szoftver nem kevesebbre vállalkozott, mint hogy lehetővé tegye natív kódok futtatását a böngészőn keresztül,…

Címkék: google kihívás native client

Hack=Pénz

2009.02.26. 20:19 | buherator | Szólj hozzá!

Kírásra került néhány hackverseny, igen szép díjazási kategóriákkal:A Google a biztonsági szempontból igen érzékeny Native Client kódjában talált biztonsági résekért ajánl fel pénzjutalmat. Sajnos csak a céges zsűri által kiválaszott 5 legjobb "pályamunkát"…

Címkék: google windows mobile symbian iphone blackberry android native client pwn2own

Böngésző hírek

2008.12.12. 09:11 | buherator | 3 komment

Az utóbbi napokban több böngész-biztonsággal összefüggő hír is napvilágot látott, ezeket igyekszem most néhány mondatban összefoglalni, csak hogy mindenki képben legyen.A legizgalmasabb események a Google körül zajlottak: megjelent a biztonsági szempontból igen érdekes Chrome…

Címkék: microsoft google firefox hírek internet explorer mozilla google chrome

Native Client

2008.12.09. 15:47 | buherator | 6 komment

A Google ma bejelentette legújabb agyüleményét: futtassunk natív x86 kódot a böngészőnkben!Most várok egy kicsit amíg mindenki előkaparja magát az asztal alól...rendben. Szóval megijedni egyelőre nem kell, még nem jött el a digitális apokalipszis, a srácoknak a Google-nél több…

Címkék: google native client

Zsírkréta hackereknek

2008.11.20. 14:31 | buherator | 4 komment

 Az írja a Webisztán:Nagy lépést tett a Google levelezője a geekeken túli világ felé. Magyar idő szerint szerda este elkezdték kiélesíteni a Gmailben a Témák (Themes) menüpont. Vagyis hamarosan bárki* lecserélheti a megszokott, dominánsan fehér-kék dizájnt…

Címkék: google gmail gondolat

Friss hús: Google Chrome

2008.09.03. 09:12 | buherator | 58 komment

Tegnap jelent meg a Google böngszője, a Chrome, amit a szorgos hackerek azonnal elkezdtek darabokra szedni. Meg is jelent DoS exploit, valamint egy minimális felhasználói közreműködést igénylő, kódfuttatást lehetővé tevő PoC - ez egy már foltozott Safari sebezhetőség és egy…

Címkék: google google chrome

Google XSS - avagy az elhanyagolt Content-type esete

2008.04.16. 09:10 | buherator | Szólj hozzá!

Billy Rios újabb trükköt fedezett fel a Google egyik webes alkalmazásában, ezúttal a Spreadsheets volt az "áldozat". Mivel a Google által beállított munkamenet azonosítók az egész google.com domainre érvényesek, a hiba kihasználsával az összes G-betűs szolgáltatás -…

Címkék: google programozás xss

GoogleCode jelszó lenyúlása

2008.04.04. 21:42 | buherator | Szólj hozzá!

Billy Rios legújabb munkája a GoogleCode egy igen kellemetlen hiányosságára hívta fel a figyelmet. A GoogleCode egy SourceForge-hoz hasonló projekt-hoszting szolgáltatás nyílt forráskódú alkalmazások számára verziókezeléssel, hibajelentő felülettel stb. A hibajelentésekhez…

Címkék: google java bug

Parasztvakítás - Goolag Scanner

2008.02.24. 18:57 | buherator | Szólj hozzá!

Az SG.hu-n is megjelent: "A Cult of the Dead Cow (CDC) nevű hackercsoport a Google népszerű keresőjére építve elkészítette speciális megoldását, amely weboldalak hibáira világít rá. Az eszközt hackereknek és cégeknek egyaránt ajánlják." Pár napja a GNUCITIZEN egyik…

Címkék: google goolag cdc script kiddie

süti beállítások módosítása