Új hozzászólás Aktív témák
-
#38
zsolti1debre
tag
zsolti1debre
tag
Szep hir.
-
"Kis cégek vezetői (a legtöbb) teljesen elzárkóznak a saját álomvilágukban. Amikor bekövetkezik a baj meg fogják a fejüket vagy perelnek. "
Már ha van kit perelni.
Én azon akadtam le, amikor haver egy filmezéssel foglalkozó cégtől, másodszor-harmadszor kérte el a fényképezőgépem, mert kell helyszínfotóhoz. Cégnek nem volt.
-
0xmilan
addikt
Nice
Ez a Dina nevezetű rendszer volt nálunk is, bár lehet, hogy több is van belőle. Egy 4-5 karakter hosszú számsor volt a "usernév", illetve az OM azonosító a jelszó. Az előbbi ID-t az ebédlemondó rendszer kileakelte meg nyilván ebben is volt SQLi, szóval "or 1=1"-el bárkinek a naplójába beléphettél. Itt ugye nem csak jegyek voltak, hanem TAJ szám, sz.ig. szám, lakcím, telefonszámok, stb. 
-
haxiboy
veterán
Kis cégek vezetői (a legtöbb) teljesen elzárkóznak a saját álomvilágukban. Amikor bekövetkezik a baj meg fogják a fejüket vagy perelnek. Itthon nem tesznek különbséget a White Hat és Cracker között, persze erre a média is rásegített hiszen a Hacker az csak rossz lehet.
Azért egy jószívű White Hat is kiakadhat miután a fáradtságos munkjáját semmibe veszik, és tele rakja f@sszal az érintett weboldalát, abszolút meg tudom érteni -
haxiboy
veterán
Kis cégeket/iskolákat csak úgy amúgy sem bántunk. Felesleges, de még nagyobb cégeket sem ahol nincs bounty program. Nálunk a suliban is felhívás volt hogy az új házi fejlesztésű naplót kinek sikerül "megtörnie".
Minden jellegű technikát bevethettünk, csupán fel kellett iratkozni. Nem zárkóztak el a Social Engineeringtől sem, néhány tanár nem vette a fáradtságot megtanulni az új rendszert, hiába volt minden héten oktatás a használatáról. Ez volt a legegyszerűbb fázis. "Véletlen" írattunk be magunknak jegyeket, húzattuk ki az igazolatlan órákat, természetesen büntetés nélkül. Minket pénzjutalom, a tanároknak plusz oktatás a rendszerről.A technikai részbe nem mennék bele, de a sz@rul megírt kód amit a legegyszerűbb decompiler is szétszedett, egy authentikációt nem igénylő, teljes jogú api (a program authentikált, de az api-n nem volt kötelező), ami gyakorlatilag a teljes adatbázishoz korlátlan hozzáférést biztosított. Plaintext jelszavak és egyéb finomságok. De a legjobb. Ha valaki nem is ért ezekhez, nem szed szét programkódot. De ért a packet sniffeléshez, amihez valljuk be egyáltalán nem kell nagy tudás, az egész egy egyszerű post requestben zajlott, titkosítás és minden nélkül, így ha elcsíptél egy jegybeírás forgalmat, akár egy olcsó telefonról 1 gombnyomással újra elküldted a packetet újra beírta a jegyet
Mikor ezekre a hibákra rámutattunk, lecserélték a komplett rendszert a Dina nevű napló rendszerre ami valljuk be, kicsit nagyobb falat volt, bár ott nem a fejlesztőkön, hanem a rendszergazdák hanyagságán múlott a bukás.
-
0xmilan
addikt
Anno az ex gimim szerverét (ami egyben volt webszerver, FTP server, mail server, router, digitális napló, stb.) rootoltam. Volt olyan egyszerű hiba, amit javítottam (miután korlátlan hozzáférésem volt), a többit rábíztam a rendszergazdára. Nemrég az egyik nagy hazai bevásárlóközpont honlapján volt SQLi, amit hónapokig nem sikerült javítani. Szóltam a hiba kapcsán a govcertnek is, akik a bkk-s ügy után idítottak egy bejelentő programot. Mostanra sikerült szép csöndben fixálni a hibát, de se egy visszajelzés, se egy köszi. Mondjuk a directory listing és egyéb apróságok maradtak, de az már nem érdekel. Rengeteg példát tudnék még hozni. Arra jutottam az évek során, hogy a kis magyar cégeket, iskolákat, stb. nem szabad piszkálni, mert ilyenkor tiéd az felelősség, hogy javítsák a hibát és cserébe nem kapsz semmit, esetleg el is küldenek melegebb éghajlatra. Persze van olyan is, aki nagyon hálás; ilyenkor jól esik a vállon veregetés, de az elismerésekből nem lehet megélni. Akinek ilyen hajlama van, az inkább élje ki a nagyobb cégek bug bounty programjain.
-
carr
őstag
5200... hmm... elég fösvény lények dolgoznak, ez a hiba csilliárdokba kerülhetett volna gugliéknál, erre odadobnak egy alamizsnát, 15600 pezót, hogy ne gyerek. azt máskor meg ne lássalak is...
szánalmas.
szerk:
kékes525
lehet csináltak is, azzal meg kerestek 500e dodót... és most megy a háp háp...
-
Remélhetőleg más nem jött még rá előtte...
-
gyuszaa
őstag
Emlékeztet a legutóbbi ticketing rendszerek (yammer, slack) esetére, ahol megbízhatóként kezelt (autentikációra használt) céges domain-el szereztek ugyanígy belső hozzáférést, érdekes "out of the box" gondolkodással.
-
#16
klambi
addikt
dredjudge84
#7
klambi
addikt
válasz
dredjudge84
#7
üzenetére
azért az, hogy egy post adatot módosítasz azt nem nevezném "hack" -nek amit ma már szinte mindenre használnak. évekig rendeltem a fortétól így pizzát olcsóért.
-
cog777
senior tag
Tenyleg annyi a bejelentes hogy nem emlkeszem hogy meg lett emlitve a Microsoft is korabban?
Ugyanis oket 2013-ban tortek fel es vittek el a hiba adatbazisukat - amit aztan fel is hasznaltak - de nem ertesitettek a kozvelemenyt ami nem szep dolog."Although the study found that the flaws in the stolen database were used in cyber attacks, Microsoft argued the hackers could have obtained the information elsewhere, and that there's "no evidence that the stolen information had been used in those breaches."
Persze, persze.
-
0xmilan
addikt
Persze utólag mindig okos az ember, de pont pár hete gondolkoztam rajta, hogy meg kéne nézni ezt az új issue trackert, mert nyáron még nem volt ilyen. Áprilisban találtam egy $500-os hibát; nemrég lett volna egy másik, de azt sajnos duplikáltnak jelezték.
Grat a szerzőnek! -
#7
dredjudge84
őstag
dredjudge84
őstag
Ha ezt egy magyar okos fedezte volna fel, meg is hurcoltak volna lasd BKK incidens.
Ez a Dina nevezetű rendszer volt nálunk is, bár lehet, hogy több is van belőle. Egy 4-5 karakter hosszú számsor volt a "usernév", illetve az OM azonosító a jelszó. Az előbbi ID-t az ebédlemondó rendszer kileakelte meg nyilván ebben is volt SQLi, szóval "or 1=1"-el bárkinek a naplójába beléphettél. Itt ugye nem csak jegyek voltak, hanem TAJ szám, sz.ig. szám, lakcím, telefonszámok, stb. 
És ő nem fog szólni.
Új hozzászólás Aktív témák
- Azonnali VGA-s kérdések órája
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- Multimédiás / PC-s hangfalszettek (2.0, 2.1, 5.1)
- Házi hangfal építés
- Napelem
- Sorozatok
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- CURVE - "All your cards in one." Minden bankkártyád egyben.
- Vicces képek
- Jövedelem
- További aktív témák...
- BESZÁMÍTÁS! iPhone 16e 128GB Black - 100% akku - Apple gari
- BESZÁMÍTÁS! iPhone 14 128GB Red - 100% akku
- T14 Gen1 14" FHD IPS i5-10210U 16GB 256GB NVMe magyar vbill IR kam új akku gar
- XPS 15 9530 15.6" FHD+ IPS i7-13700H RTX 4060 16GB 1TB NVMe ujjlolv IR kam gar
- Acer Predator GAMING 17" Laptop! i7-11800H / RTX 3070 / 32GB DDR4 / 1TB NVMe! BeszámítOK
- GYÖNYÖRŰ iPhone 13 Pro 128GB Graphite -1 ÉV GARANCIA - Kártyafüggetlen, MS3082
- Telefon felvásárlás!! Honor 90 Lite/Honor 90/Honor Magic5 Lite/Honor Magic6 Lite/Honor Magic5 Pro
- HIBÁTLAN iPhone 14 128GB Purple -1 ÉV GARANCIA - Kártyafüggetlen, MS3236
- BESZÁMÍTÁS! MSI B550M R7 5800X3D 32GB DDR4 1TB SSD RTX 4070 12GB ZALMAN M4 A-DATA 750W
- REFURBISHED - Lenovo ThinkPad 40A9 docking station
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest