Artykuł jeden z miliona na temat ataków XSS, lecz ten będzie wyjątkowy ze względu na charakter. Ukaże on specyfikację, wykorzystywania błędów tzw. szukajek na stronach internetowych.

Atak na www.epuls.pl polegający na przechwytywaniu sesji.

ePuls.pl - i jego bezpieczeństwo (Przechwycenie sesji.) Czyli - jak dbają o bezpieczeństwo...

Wykop.pl kupił gazeta.pl! Po wielomiesiecznych negocjacjach wykop.pl dokonal zakupu portalu gazeta.pl. Pierwszym krokiem nowego wlasciciela bedzie polepszenie bezpieczenstwa... A mówiąc poważnie - gazeta.pl posiada lukę bezpieczeństwa umożliwiającą wykonanie kodu JavaScript.

Statystyk i cyferek ciąg dalszy. Jak donosi raport zagrożeń internetowych firmy Symantec, w ubiegłym najbardziej popularne były ataki na portale społecznościowe. W pierwszej połowie roku 2007 było ich około 6000, podczas gdy w drugiej połowie - już ponad 11000. Ataki to najczęściej wszelkiego rodzaju XSSy, i błędy oprogramowania.

Ta krakowska firma z branży audytów bezpieczeństwa dwa miesiące temu opublikowała informacje o podatności serwisu allegro.pl na ataki SQL injection i XSS. Dziury podobno zostały już załatane, ale pozostaje pytanie czy ktoś ich wcześniej nie znalazł. Przez dłuższy czas ktoś mógł dobrać się do baz danych Allegro, albo przechwytywać sesje klientów.

Przeszukując internet pod tagami "wlam","epuls" doszukałem sie kilku przydatnych informacji, oczywiście nie są aktualne, ale mnie zaciekawiły. Kto by pomyślał, że taki ogromny portal jak EPULS.PL mógłby być podatny na ataki sql injection lub ataki XSS ?

W serwisie Allegro udało się załatać kolejną lukę. Ciekawe ile takich "kwiatków" czeka jeszcze na nieświadomych użyszkodników?

Niegrozna luka ktora pozwala na wstrzykniecie dowolnego kodu html na strone wykop.pl/zaloguj poprzez zaspoofowanie referera

Firma Aladdin odkryła nowe fakty w związku atakiem botnet na serwis eBay. http://www.egospodarka.pl/24711,Grozny-atak-botnet-na-serwis-aukcyjny-eBay,1,12,1.html Tymczasem, od momentu poinformowania administracji o możliwości przeprowadzenia ataku typu XSS, eBay nie zrobił nic - poza wyrywkowym przeglądaniem aukcji przez administrację.

Microsoft zaczyna w lutym kampanię promocyjną swego hiper-super-bezpiecznego SQL Server 2008, działającego na hiperwydajnym Windows Server 2008. Widać tak to ich pochłania, że zapomnieli o bezpieczeństwie swego poprzedniego hiper-super-bezpiecznego SQL Server 2003. A autorzy strzykawek z wrogim kodem mają uciechę.

No i proszę, Flash też dziurawy. Liczbę zagrożonych stron szacuje się na dziesiątki tysięcy.

2 miesiące temu znalazłem sql injection pozwalający na włamanie się na konta epuls.pl. Po dodaniu 2 nowych funkcji na epulsie pojawiły się dwie nowe dziury, umożliwiające przejęcie konta.

Spróbujcie się zalogować (dowolne hasło, dowolny nick). Ciekawe ile ludzi z tak dużej i specyficznej społeczności dało by się nabrać...(aby zobaczyć efekt potrzebny jest włączony javascript)

W Firefoksie istnieje niezałatana od roku dziura, którą można wykorzystać do ataków XSS.

Nie dość, że aż się tam roi od pokemonów, to jeszcze ma XSS? :>

Dzisiaj została odkryta nowa luka, która pozwala wstawić do opisu aukcji dowolny kod (X)HTML, JavaScript, a także obiekty Flash.

MKS Lab i ataki XSS ;)

Błąd w systemie blogowym Onet.pl. Luka pozwalała na przeprowadzenie ataku XSS na większości blogów.

O ironio na stronie IBM Information about XSS protection, wystepuje blad XSS