Wpisy z tagiem "XSS"

Poniedziałek z trenerem – dwa błędy prowadzące do wykradania kontaktów Yahoo

Poniedziałek z trenerem – dwa błędy prowadzące do wykradania kontaktów Yahoo

Dzięki rozwojowi technik zabezpieczeń coraz częściej jeden błąd w aplikacji nie wystarcza, by uzyskać nieuprawniony dostęp i błędy trzeba łączyć, by osiągnąć upragniony cel. Nie inaczej jest w tej historii.… Czytaj dalej

Uwaga na antywirusa AVG oraz jego wtyczkę AVG Web TuneUp

Uwaga na antywirusa AVG oraz jego wtyczkę AVG Web TuneUp

Wydawać by się mogło, że od programów antywirusowych powinniśmy oczekiwać wyższego poziomu bezpieczeństwa. Niestety często jest wprost odwrotnie i okazuje się, że najgorsze błędy znaleźć można w programach, które mają nas przed chronić.… Czytaj dalej

Uwaga, 0day w najnowszym WordPressie

Nie każdy badacz najwyraźniej jest zwolennikiem odpowiedzialnej publikacji informacji o podatnościach – firma Klikki Oy opublikowała błąd typu stored XSS w najnowszym WordPressie 4.2, na który nie ma jeszcze łaty.

Błąd znajduje się w sposobie zapisywania zbyt długich komentarzy do bazy danych.… Czytaj dalej

Aktualizujcie WordPressa i wtyczki i to szybko

Aktualizujcie WordPressa i wtyczki i to szybko

Właśnie wyszła nowa wersja WordPressa (4.1.2) oraz wielu popularnych wtyczek takich jak:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Zaczęło się od wtyczki SEO  Yoast, w której odkryto poważny błąd XSS.… Czytaj dalej

Kilkadziesiąt poważnych i wiele innych błędów w serwerach w domenie GOV.PL

Kilkadziesiąt poważnych i wiele innych błędów w serwerach w domenie GOV.PL

Nie odkryje Ameryki ten, kto stwierdzi, że na serwerach WWW w domenie rządowej ciągle można znaleźć setki mniejszych i większych błędów. Co innego jednak spekulować, a co innego błędy te znaleźć i opublikować w internecie.… Czytaj dalej

Aktualizujcie WordPressa. Teraz

Jeśli ciągle korzystacie z WordPressa 4.0, to albo włączcie automatyczne aktualizacje, albo szybko aktualizujcie do wersji 4.0.1. A jeśli macie wersję 3.x, to aktualizujcie jeszcze szybciej – błąd XSS w niej istniejący można dość łatwo zamienić w wykonanie kodu po stronie serwera i jest najpoważniejszą dziurą wykrytą w ostatnich latach.… Czytaj dalej

:) Ironiczny XSS

Rzadko piszemy o błędach typu XSS, ten jednak nas rozbawił. I nie chodzi o sam błąd, ale o miejsce jego występowania.… Czytaj dalej

XSS w DNS bo czemu by nie

Jeśli myślicie, że widzieliście już błędy XSS we wszystkich możliwych miejscach, to spójrzcie na wpisy DNS (a szczególnie na pola TXT) domeny jamiehankins.co.uk. Dla leniwych wersja podana na talerzu poniżej:

; <<>> DiG 9.8.3-P1 <<>> txt jamiehankins.co.uk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60523
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 2, ADDITIONAL: 3

;; QUESTION SECTION:
;jamiehankins.co.uk.
Czytaj dalej
Atak 0day na jeden z najpopularniejszych skryptów do prowadzenia forum

Atak 0day na jeden z najpopularniejszych skryptów do prowadzenia forum

Gdy sprzedajesz popularne oprogramowanie do prowadzenia forum, to ostatnim, czego potrzebujesz, jest włamanie do własnego flagowego serwisu. Spotkało to właśnie autorów vBulletin, jednego z najpopularniejszych skryptów tego typu.… Czytaj dalej

Bug bounty po polsku, czyli proponujemy pakiet Eurogąbek

Bug bounty po polsku, czyli proponujemy pakiet Eurogąbek

Od kilku lat duża część największych firm internetowych oferuje nagrody za odkrycie błędów w ich serwisach. W Polsce zwyczaj ten do tej pory się nie przyjął, a osoby zgłaszające błędy otrzymują czasem dość zabawne propozycje.… Czytaj dalej

DOM XSS na stronie Pentest Mag

Pentest Mag, kolejne czasopismo ze słynnej stajni Hakin9, okazuje się jak szewc bez butów chodzić. W jego serwisie (i kilku pokrewnych) odnaleziono DOM XSS. W sumie może to wysyłanie do wszystkich spamu to dobra metoda na zachęcenie do darmowych pentestów?… Czytaj dalej

XSS w serwisie poczta.interia.pl

Otrzymaliśmy właśnie link do filmu z trywialnym błędem typu persistent XSS w serwisie poczta.interia.pl.

Najlepszy był i tak komentarz autora wiadomości: „oczywiście interia błąd poprawiła, i nic nie odpisała.”… Czytaj dalej

0day na Yahoo – umożliwia dostęp do cudzego konta pocztowego

0day na Yahoo – umożliwia dostęp do cudzego konta pocztowego

Każdy exploit ma swoja cenę, która zależy od zakresu i możliwości jego zastosowania. Im więcej osób znajduje się w zasięgu jego działania, tym drożej. Kod, umożliwiający czytanie cudzej poczty na Yahoo, kosztuje jednak tylko $700. Czemu tak tanio?… Czytaj dalej

Szpiegowanie szpiega, czyli błędy w MobileSpy

Szpiegowanie szpiega, czyli błędy w MobileSpy

Na rynku pojawia się sporo aplikacji, służących do szpiegowania użytkowników telefonów komórkowych. Przechwytują smsy i bilingi, podają lokalizację, szpiegują, ile wlezie. Czasem jednak dzięki błędom w aplikacji szpiegowany też może się odegrać.… Czytaj dalej