Na zrcadlo se zlobí ten, kdo má křivou hubu.
 NavigaceTagyRSS FeedSecurity-Portal.cz |
|
PřihlášeníNáhodný obsah
|
This work is licensed under a Creative Commons Attribution-Share Alike 3.0 Unported License.
CC-BY-SA Security-Portal.cz | secured by paranoid sense | we hack to learn
Pexesa... ze ti neni hanba! :D
Lidi se bojí toho co neznají, možná proto jsou tak slepí.
Ono to fakt funguje!! Já tam mám dokonce fotky lidí, kteří zrovna GOOGLE používají :D
Ono to bylo doslova rychlé, protože jsem se moc nekoukal do kódu. Majitele jsem kontaktoval. Přislíbil vydat co nejdříve novou, již opravenou verzi.
nice to bylo rychle :)
KOntaktoval jsi toho majitele?
Mas na mysli dil "Bart the Genius", odvysilani 14. ledna 1990 :)
Simpsonovi hrali scabble a bart vytvoril slovo "kwyjibo" a jeho vyznam vysvetlil jako "velka, hloupa, plesata opice ze severni ameriky, bez brady". Houmer si to vzal osobne a vyhodil ho z domu ...
Smith se timto dilem skutecne inspiroval.
zajímavé "Kwyjibo" Myslím, že se inspiroval jedním dílem serialu simpsonových, nebo naopak?
aa to je vyzva :) neco s tim urcite udelame
Tak pokusit se můžeme :) Ale ještě pár dní nebude čas. Holt nejen zábavou živ je člověk :)
Pokud máte někdo chuť, můžete zkusit hacknout další český redakční systém - NORS (http://norsphp.com). V případě úspěchu mi ale prosím před zveřejněním včas napište o jakou zranistelnost se jedná na mail - [email protected].
Ano. Ale od doby vydání této poslední verze (verze 3 je asi stále ve vývoji) vyšlo několik patchů, takže je možné, že je tato chyba již zaplátovaná.
Viz: http://www.phprs.cz/magazin/download.php?sekce=6
Kažopádně mám v plánu se podívat znovu do kódu a prohlédnout si i pluginy ;)
Pekne ...
KOukam, ze jde o posledni verzi tohoto cms ;)
jj presne
Hlavne ze kluci od Majkrosoftu rikaly, ze Visty uplne prepsali.
Kdo veri produktum Microsoftu tak si to nabourani/zcizeni informaci/zcizeni penez/whatever zaslouzi... blby je to ze lidi s instalaci Windows ohrozuji/otravuji i nas ostatni kvuli spamum, botnetum a sitovym cervum.
To same ale dokaze spachat linux/bsd admin blbec co je rad ze danou sluzbu zvladnul naklikat. Tam uz je nutna vetsi davka blbosti, protoze tyto systemy jsou by design bezpecnejsi, ale kdyz se chce, tak jde vsechno.
Celkove je imho zivot na Internetu stejne bezpecny jako ten realny... vzdy zalezi na jakeho blba narazis. Stesti ze lidi z Microsoftu na ulici/silnici moc nepotkavam.
No, on je problém v tom, že jim to teče i v nejnovější verzi prohlížeče. Viz odkaz na konci článku. Situace je ale stejná jako s aktuálním Ring0 Local Privilege Escalation exploitem pro Win NT (ta chyba je v kódu od roku 1993 a to dokonce i ve Win7 viz: http://www.exploit-db.com/exploits/11199 ) :)
Myslis ze by Microsoft vydal nejakou omluvu/statement ohledne toho, ze jejich programatori jsou neschopny programatorsky cunata, kteri jsou schopni "opravovat" chyby pro zastaraly a standardy nepodporujici "internetovy prohlizec" i vice jak rok?
Neee :o)
To urcite neni bug, ale ficura...
Tuhle kauzu jsem vubec nesledoval, vydal microsoft nejake vyjadreni?
asi jsi to necetl...
"The router and web browser themselves contain NO geolocation/GPS data. This is also *not* IP based geolocation."
The method works like this:
1. You visit a malicious web site (why are people so mean?)
2. The web site has a hidden XSS against your router (in this example, I'm using an XSS I discovered in the Verizon FiOS router)
3. The XSS obtains the MAC address of the router via AJAX.
4. The MAC address is then sent to the malicious person. In the test case below, it's sent to me (not that I'm malicious!)
5. I then take the MAC address and send it along to Google Location Services. This is an HTTP-based service where router MAC addresses are mapped to approximate GPS coordinates from other data sources. There are NO special browser requirements, nor does a user need to be prompted. I determined this protocol by using Firefox's Location-Aware Browsing.
http://samy.pl/mapxss/
Ja mám doma takú IP, že sa z nej dá pomocou GeoIP hneď vyčítať najbližšie mesto (10km). Identifikácia pomocou toho, čo predviedli, je rovnako alebo menej presná, keďže môj router sa nenašiel a Google maps ukázal moju polohu asi podľa IP. Načo teda útočiť, robiť XSS (ktoré ani niekde nefunguje a niekto si toho môže všimnúť), keď nám stačí IP použitá pri návšteve stránky?
Těch chyb jsem tam osobně během nějakých úprav našel vícero :) Každopádně díky :) Už jsem si naliskal a se svěšenou hlavou (i ušima) přiznávám, že jsem češtinářský dobytek a stydím se sám před sebou :)
Dovolím si kritizovat jedno slovo: "hbytě", má být "hbitě".
aspon ma pekne pojmenovany vyhledavani... akurat mit takhle kodovany vsechno na SP, tak se v nem asi nevyznam :]
fyi
hex:736561726368 string:search
http://events.ccc.de/congress/2009/Fahrplan/attachments/1479_26C3.Karste...
Takže nám padl azet.sk :D Co padne zítra?
http://igigi.baywords.com/azet-sk-hacked/
Tak každého motivuje něco jiného. Někomu stačí dobrý pocit z toho, že problematiku chápe. Někdo do toho jde s vidinou finančního zisku. Někdo do toho jde, protože je rád středem pozornosti. A někdo do toho jde, protože má rád adrenalin. Každopádně to nic nemění na tom, že dnes weby vytváří každý, kdo je schopen v PHP vytvořit Hello, World!
Od utoku na CSFD jsem o igigim slysel/cetl az ted (=nijak sem jeho "praci" nesledoval). Myslim ale, ze ten clovek (nebo skupina lidi) sleduje svymi utoky akorat to, aby byly co nejvic videt v mediich a hreje to jeho/jejich ego/ega (jen doufam ze mu to nestoupne tak moc do hlavy aby si prestal davat pozor na uklizeni stop po sobe).
Myslim, ze situace dbani o bezpecnost se jentak nezmeni, tech par spolecnosti, ktere napadnul (napadne) asi zalataji nejako diry, pres ktere se igigi dostal, mozna provedou nejaky to bezpecnostni review kodu, ale to bude myslim vsechno.
Myslim, ze problem je hlavne v lidech, kteri si tvorbu webove aplikace objedna. Vetsinou je rozhodnuti na manazerech, kteri nemaji ani paru o tom, co ze to vlastni kupuji a rozhoduji se na zaklade prezentaci jednotlivych firem a ceny (nebo jeste hur uplatku) a potom je vysledek takovy jaky je.