http://markasblog.pl/platforma-wordpress-doczekala-sie-aktualizacji-do-wersji-3-5-2/ [tagi: #bezpieczenstwo, #wordpress, #xss, #aktualizacje]
Wszystko
Najnowsze
Archiwum
mkasinski
#zagadkihakerskie #programowanie #xss #js #html
Ostatnio rzuciłem kolejne wyzwanie związane z bezpieczeństwem stron internetowych. Strona pod adresem http://hakerium.cba.pl/zad2/ jest podatna na błąd typu Cross-Site Scripting (XSS) i celem zadania było dołączenie pliku z zewnętrznej domeny. Zaproponowałem plik spod adresu http://pastebin.com/raw.php?i=mYM90ckz który po prostu wyświetla alert, ale oczywiście można go dużo bardziej rozwinąć.
Sama strona umożliwiała dodawanie komentarzy o długości co najwyżej 100 znaków. Zacznijmy
Ostatnio rzuciłem kolejne wyzwanie związane z bezpieczeństwem stron internetowych. Strona pod adresem http://hakerium.cba.pl/zad2/ jest podatna na błąd typu Cross-Site Scripting (XSS) i celem zadania było dołączenie pliku z zewnętrznej domeny. Zaproponowałem plik spod adresu http://pastebin.com/raw.php?i=mYM90ckz który po prostu wyświetla alert, ale oczywiście można go dużo bardziej rozwinąć.
Sama strona umożliwiała dodawanie komentarzy o długości co najwyżej 100 znaków. Zacznijmy
#programowanie #zagadkihakerskie #xss #html #js
Kolejna zagadka hakerska. Tym razem strona, na której można dodawać komentarze o długości co najwyżej 100 znaków, która jest podatna na XSS. Waszym zadaniem jest wykonać na stronie plik JS z zewnętrznej domeny (np. ten).
http://hakerium.cba.pl/zad2/
Zadanie chyba jest znacznie łatwiejsze niż poprzednio ;)
Kolejna zagadka hakerska. Tym razem strona, na której można dodawać komentarze o długości co najwyżej 100 znaków, która jest podatna na XSS. Waszym zadaniem jest wykonać na stronie plik JS z zewnętrznej domeny (np. ten).
http://hakerium.cba.pl/zad2/
Zadanie chyba jest znacznie łatwiejsze niż poprzednio ;)
Wygląda na to, że jest już poprawiony, stąd mogę wyjawić błąd XSS jaki był jeszcze wczoraj na wykopie:
http://screencast.com/t/DwBKlbJr
#wykop #xss
http://screencast.com/t/DwBKlbJr
#wykop #xss
@dyktek: Ale mogło by starczyć na załączenie zewnętrznego skryptu?:P
@dyktek: Include zawsze przechodzi (jeśli starcza znaków na jego zrobienie), właściwie nie ma się jak przed tym zabezpieczyć.
Kwestia tego czy podgląd to jest to samo co właściwa publikacja jest nierozstrzygnięta przeze mnie, bo nie chciałem robić syfu na wykopalisku. Wydało mi się jednak mocno prawdopodobne, że jest dokładnie to samo, więc zgłosiłem błąd do Wykopu i dość szybko go naprawiono, więc chyba coś było na rzeczy :)
Kwestia tego czy podgląd to jest to samo co właściwa publikacja jest nierozstrzygnięta przeze mnie, bo nie chciałem robić syfu na wykopalisku. Wydało mi się jednak mocno prawdopodobne, że jest dokładnie to samo, więc zgłosiłem błąd do Wykopu i dość szybko go naprawiono, więc chyba coś było na rzeczy :)
http://markasblog.pl/firefox-16-0-1-szybka-aktualizacja-tuz-po-premierze-galezi-16-0/ [tagi: #bezpieczenstwo, #thunderbird, #firefox, #xss, #aktualizacje, #firefox-16-0, #firefox-16-0-1, #voiceover, #seamonkey]
Błąd w zabezpieczeniach banku! XSS w paypal
Na paypal’u została zgłoszona usterka. Znaleziono tam błąd o nazwie XSS.
z- 4
- #
- #
- #
- #
- #
- #
Acta, srakta...
Zwykły XSS, ale zaraz jakaś redakcja faktoidu przeczyta, że to przecież sposób ataku na stronę www :/
z- 0
- #
- #
- #
- #
- #
- #
- #
- #
XSS w Skype na iPhone
Skype na iPhone'a posiada błąd pozwalający atakującemu na dostęp do plików na telefonie ofiary, w tym do książki adresowej.
z- 0
- #
- #
- #
- #
- #
- #
XSS na stronie programu partnerskiego mBanku!
Strona programu partnerskiego mBanku podatna na XSS
z- 0
- #
- #
- #
- #
XSS - jak to działa w praktyce
Mnie ciekawi natomiast o jaką firmę telekomunikacyjną chodzi.. Wg autora artykułu można komuś podejrzeć sms'y i inne dane na koncie! A firma X (?) wie o problemie i go nie usuwa!
z- 3
- #
- #
- #
- #
- #
http://markasblog.pl/adobe-reader-i-adobe-flash-ubozszy-o-42-luki-bezpieczenstwa/ [tagi: #bezpieczenstwo, #sandbox, #flash, #xss, #adobe-reader, #coldfusion, #shockwave]
PHP a bezpieczeństwo – poradnik początkującego programisty
Bardzo często widzi się komunikaty, że dana witryna została zhakowana, że wykradziono jakieś ważne dane, czy też zwykła niegroźna strona internetowa zostaje oznaczona jako dokonująca ataków - jak sobie z tym radzić ? Podstawy
z- 1
- #
- #
- #
- #
- #
- #
- #
- #
Persistent XSS w serwisie Demotywatory.pl
Ciekawy błąd pozwalający na wstawienie dowolnego kodu html w demotywatorze, przykładowo skrypt dodający animowany gif.
z- 6
- #
- #
- #
- #
Serwis YouTube celem hakerów
W niedzielę 4 lipca 2010 nastąpił atak na popularny serwis YouTube. Hakerzy wykorzystali lukę i metodę ataku określaną jako „cross-site scripting”, by osadzić własny kod JavaScript w module dodawania komentarzy do filmów.
z- 0
- #
- #
- #
- #
- #
- #
- #
- #
XSS w YouTube (jeszcze niezałatany)
Napisaliśmy już tym dzisiaj na Blipie, ale ponieważ zalewacie naszą skrzynkę kolejnymi doniesieniami na temat tego błędu XSS w YouTube, zdecydowaliśmy, że poświęcimy mu osobny post :)
z- 1
- #
- #
Podstawowe informacje o XSS
Czym jest XSS, zasięg działania, wykorzystanie.
z- 1
- #
- #
http://blip.pl/s/102431000 o, to tak działa #blip.owe zabezpieczenie przed #xss - wywala wszystko między ostrymi nawiasami/klamerkami
Poważna luka w module Drupala przeoczona także przez Biały Dom
Jak czytamy w informacjach o podatności, napastnicy poprzez atak typu XSS wstrzykiwać dowolne skrypty na strony witryny, co pozwala im nawet przejąć uprawnienia administratora. Zagrożona jest najnowsza produkcyjna wersja Drupala (6.16)...
z- 0
- #
- #
Genialny pomysł :-) http://www.facebook.com/pages/10-BIG-FAT-LIES-WOMEN-TELL-MEN/116461488388623 (nie sprawdzałem działania tego skryptu! na własne ryzyko!) (#facebook #javascript #xss)
Błąd na tej stronie jest całkiem ciekawy, ponieważ strona enkoduje dane wyjściowe (tj. np. znak
<jest zamieniany na