Sokáig gondolkoztam, hogy mi legyen a bejegyzés címe, de mivel egyszerűen képtelen voltam szavakkal leírni ami a fejemben járt, úgy döntöttem, hogy inkább megpróbálom megjeleníteni azt, hogy milyen arcot vágtam mikor az alábbi történetet olvastam: Oklahoma állam…

Az előző sajnálatos incidens után a Scotland Yardon most attól tartanak, hogy a támadók hozzáférhettek néhány olyan adatbázisszerverhez is, amely több száz kolléga személyes adatait tartalmazta. Ezek az információk felbecsülhetetlen értékkel bírhatnak a feketepiacon, érthető…

Egy napok óta zajló, több tízezer webhelyet érintő támadáshullám áldozata lett a Trend Micro. Úgy tűnik a biztonságtechnikával foglalkozó cégek sincsenek biztonságban... A támadók úgy tűnik, ASP technológiával készített portálokat támadnak, melyeken olyan kódokat…

"A RIAA oldala igencsak bugos volt. Több SQL injection és xss hibát is találtak benne, sőt valakinek sikerült a db-t is droppolni." ASVA.info Tudjátok, a RIAA az a szervezet, aki azzal szeret játszani, hogy 10 éves kislányokat és hasonló kaliberű gonosztevőket perel…

A hétvégén két automatizált támadással először kb. 70 majd  93 ezer weboldalra pakoltak kártékony kódokat ismeretlen támadók. A Google-t használó szkriptek Microsoft SQL szervereket kerestek és fertőztek meg oly módon, hogy az weboldalak adattábláiban szereplő összes…

Az SQL injection gyorsítós posztra érkezett egy komment _2501-től, amit azt hiszem érdemes kiemelebb helyen (itt) is közzétenni, nehogy feledésbe merüljön: Nem rossz, tetszett a dolog, inspiráló. Teljes blind injektből több értéket visszahozni az injekten belül már ninjutsu. :)…

Most olvasom a Hacker Webzine-en, hogy egyik román szomszédunk, bizonyos Luca SQL injection segítségével tudott XSS-et produkálni, miközben egy barátja webalkalmazását tesztelte. Nos, ezt már a torrentrazzia alatt honfitársunk, kdavid is eljátszotta (11:47) a ProArt-tal. A hibát ott…

Stefano Di Paola és Giorgio Fedon egy hasznos kis trükköt mutattak be a vak SQL Injection támadások sávszélességkímélő kivitelezésére:Vak támadások esetén sokszor elég a kiszolgáló válaszainak hosszát elemezni, hogy rájöjjünk, miként futott le az általunk beszúrt kód.…

A blind (vak) SQL injectiont hagyományosan úgy szokás felfogni, mint egy bináris keresést az ASCII táblán, vagy annak egy részén.  Ennek lépésszáma O(log2 n)-nel arányos, ahol n a teljes ASCII táblát figyelembe véve 255 (a nullbyte nem érdekes), így a logaritmus értéke kb. 8…

Deface-elték a Microsoft Egyesült Királysághoz tartozó weboldalának a partnerek eseményeinek regisztrációjára szolgáló oldalát. A magát rEmOtEr-nek nevező támadó ahttp://www.microsoft.co.uk/events/net/PreRegister.aspxhelyen található webalkalmazás v2 paramáteráben talált SQL…

beNi több, eddig javítatlan hibát - többek között perzisztens XSS-t és SQL injectiont - fedezett fel a Wordpress blogmotorban, amelyek lehetővé teszik, hogy átvegyük az uralmat a sebezhető blogok felett.beNi rögtön írt is egy férget amely kihasználja ezeket hibákat, de sérült…

Néhányan úgy gondolják, hogy a tárolt eljárások használata egyúttal biztonságot is jelent az adatbázist használó alkalmazások számára. Ezt a tévhitet eloszlatandó, lássuk hogyan lehet kihasználni az SQL Server automatikus adatcsonkolási tulajdonságát egy rosszul megírt…