Egy  0wn3d_5ys becenevet használó - feltehetően indonéz - Twitter felhasználó perzisztens XSS sebezhetőséget talált a Twitteren. A problémát egy tavaly nyilvánosságra kerülthöz nagyon hasonló hiba okozza. Múlt évben James Salter a Twitter alkalmazásokhoz beállítható…

A Microsoft figyelmeztetést adott ki, mivel nyilvánosságra került egy SharePoint2007-et érintő reflektív XSS sebezehtőség. A probléma abból adódik, hogy a /_layouts/help.aspx nem megfelelően kezeli a NULL byte-okat, így az alábbihoz hasonló lekérdezés segítségével kód…

Sokáig gondolkoztam, hogy kirakjam-e ezt a két, m1key által beküldött szösszenetet, de az Apache incidens meggyőzött, hogy egy-egy ilyen jelentéktelennek tűnő hibáról is érdemes szót ejteni, ha elég népszerű domainekről van…

Egy az Apache blogon megjelent incidensjelentés szerint a múlt hét folyamán sikeres célzott támadást hajtottak végre a szervezet egyik kiszolgálója (brutus.apache.org) ellen, melyen főként hibajegykezelést folytattak.A közlemény szerint az Apache JIRA, Bugzilla, és Confluence…

Meister küldte az infót, hogy a kurucok "meghekkelték" a valasztas.hu-t, közben pedig arról is jöttek hírek, hogy kisebb médiahiszti van készülőben az üggyel kapcsolatban.  A radikális portálon belinkelt oldalak nem valódi deface-ek, csak néhány egyszerű reflektív…

Először is szeretném a figyelmetekbe ajánlani a címben szereplő remek oldalt (nye, adok pageranket is :), melyen a BME különböző (általában "nagy látogatottságú" :) előadásait tekinthetitek meg ingyen, otthoról, akkor is ha nem vagytok hallgatók (legalábbis…

Helyesbítés: a poszt készültekor még nem voltam Facebook felhasználó, így tévesen azt feltételeztem, hogy az apps.facebook.com domainen elérhető szolgáltatások is a közösségi oldal infrastruktúrájához tartoznak, miközben ezeken a helyeken valójában mindig külső szervereket…

Egy eddig foltozatlan, Internet Explorer 6 és 7 típusú böngészőket érintő sebezhetőség látott napvilágot tegnap a Bugtraq listán. A probléma speciális STYLE tagek getElementsByTagName() segítségével történő feldolgozásakor jelentkezik.  A hiba böngészőn keresztüli…

Egy Empirical névre hallgató Reddit felhasználó olyan kódot tett közzé a tegnapi nap folyamán, amelyet a böngésző címsorába másolva az összes adott oldalon lévő kommentre választ küldött a bejelentkezett felhasználó. Később xssfinder továbbfejlesztette a módszert,…

Mivel a GBG (Generic Bullshit Generator) úgy tűnt túlteljesítette a tervet, az előadások helyett inkább a kiállítók területe felé tereletm figyelmemet, ahol hamar összefutottam néhány régi cimborával, akik éppen a webkioszkot hackelték: A terminál alapesetben csak az ITBN.hu-t…

James Slater olyan problémát fedezett fel a Twitter szolgáltatásban, melynek kihasználásával tetszőleges JavaScript kód szúrható a szolgáltatás webes felületére, így pofonegyszerűen összehozható egy aranyos kis Twitter-féreg, amely pusztán egy-egy mikroposzt megtekintésekor…

A Hotmail ideiglenesen beszüntette a közvetlen képbeágyazási lehetőséget webes levelezőrendszerében, mivel egy Internet Explorerrel történő használat esetén előkerülő biztonsági problémát fedeztek fel a szolgáltatásban. Részleteket ugyan nem tudni, de a Coimputerworld…

pzs írta: fórumomban linkeltek egy adatlapot, itt: http://userscripts.org/topics/17920?page=11#posts-155350 Az xss-t kihasználva (jelen pillanatban) csak egyedi háttérképet állított be magának a gyerek [az iwiwen], ami ilyen szintig még poén, de írtam iwiwnek (ebben a…

Ezen a héten erre vagyok képes, hehe :)  Szóval már jó ideje benne él a "köztudatban" az alábbi szösszenet, az egyik tegnapi beszélgetés végre eszembe is juttatta, hogy megkeressem (remélem az alkotók nem veszik zokon, ha kicsit promótálom a dolgot): ...az…

buuz urtun küldte az alábbi képeket, főleg az utolsó figyelemreméltó:

A kétfaktoros hitelesítést biztosító e-mail szolgáltató StrongWebmail tegnapi közleményében megmerősítette, hogy kifizeti a szolgáltatás sikeres kompromitálásáért felajánlott 10.000$-os díjat az Aviv Raff, Lance James és Mike Bailey alkotta triónak. Ezzel együtt a cég…

Nem rég indult egy új webes e-mail szolgáltatás StrongWebmail néven, amely kétlépcsős autentikációval és korai figyelmeztetésekkel igyekszik garantálni felhasználó biztonságát. A vállalkozás 10.000$-t ajánlott fel annak, aki képes az ügyvezető igazgató (szintén a rnedszerben…

> reCsak egy gyors válogatás az olvasómból:Roszindulatú kódot terjeszt(ett) a Panda Security magyar kirendeltségének weboldala, a pandasoftware.hu. Az infó a konkurenciától származik, én magam nem ellenőriztem.A McAffee-nél még mindig bajban vannak a webes biztonsággal.Az MPAA…

A hét elején bejárta a hír a sajtót, hogy egy 17 éves srác, bizonyos Mickey Mooney néhány XSS sebezhetőséget kihasználva szétspammelte a Twittert. Az amúgy sem túl elegáns (hogy finoman fogalmazzak) támadást követően Mooney nekilátott felépíteni kis médiakarrierét, melynek…

Bezlapat küldte: http://iwiw.hu/pages/misc/faq.jsp?q=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Némi obfuszkációval fűszerezve jó szolgáltatot tehetne az adathalászooknak

Bezlapat küldte az alábbi két perzisztens okosságot:http://indafoto.hu/akatona2/image/3111425-cb8d435fhttp://forum.index.hu/User/UserDescription?cmd=User_UserDescription&u=995624

Egy régi téma aktualizált változata jelent meg nem olyan régen a heise-online-on, most pedig végre van egy kis időm, hogy összefoglaljam nektek a cikk tartalmát. A probléma az Internet Explorer 7-es (legfrisseb stabi)l változatát, valamint néhány korábbi verziót érint, és…

MArceLL szólt, hogy az Indapass kilépő oldalán van egy kis átirányítós XSS bug:http://indapass.hu/kilepes/?redirect_to=http%3A%2F%2Fwww.bix.hu%2FNem nagy dolog, de adathalászni pont jó. Az illetékeseket értesítettük.

Négy hónapja nem bírták befoltozni a Facebookon azt a két nem perzisztens XSS lyukat, amit a Register egyik olvasója fedezett fel. Csodák csodája, miután a hír megjelent a népszerű portálon, három órán belül sikerült javítani a problémát. Na igen, így működik a teljes…

Troppauer Hümértől kaptam a következőket:Az Opera sebezhető ún. tárolt XSS támadásokkal szemben: Az áldozat meglátogat egy weboldalt, melynek címe eltárolásra kerül a böngésző előzményei között. A következő futtatáskor az előzmények böngészésekor illetve keresésekor…