• 0xFF.ORG
  • PHP, WebApp Secutiry, Web Crawlers, Search, and a lot of fun.

Blog.hu XSS / CSRF

február 27th, 2012 | 3 comments | Hall of shame

Eltelt egy kis idő az utolsó bejegyzésem óta mivel mostanság inkább Offline dolgokkal foglalkozom (GSM és Arduino) de ma eszembe jutott a blog.hu és hogy van egy új admin felületük, gondoltam megnézem hátha találok valami szembeötlőt, és hát találtam is.

 

Offensive # it might work!

november 22nd, 2011 | 0 Comments | PoC, Utiles

Szokták mondani, hogy “The best defense is a good offense” és van is benne valami. Ez az ötlet csak az un “Script Kiddie” ellen hatásos de itt most nem is hatásosságáról van szó inkább azon, hogy egy jót szórakozzunk, esetleg egy bot-net építésűnk.

 

SMS küldés és fogadás @ PHP

november 10th, 2011 | 0 Comments | PHP Scripts, Utiles

Nem tudod, hogy mit kezdjél azzal a rengeteg SMS-el amit a szolgáltatód ad? Undod telefonon írni az SMS-t? Olcsóbbnak találod a szolgáltatód SMS árait mint az SMS küldő cégekét? Drágának találod az “egyedi” megoldásokat? (securix-sms) !!!Van megoldás!!! Csak most csak neked csak itt! AKCIÓ!!!

 

phpinfo() statisztika

október 22nd, 2011 | 0 Comments | Nincs kategorizálva, PHP Scripts

Mindannyian tudjuk, hogy milyen biztonsági kockázatot jelenthet egy publikus phpinfo() oldal, full path disclosure, használható “LFI támogatására”, a régebbi verziókban található XSS is, megvannak benne a sütik (http_only is), BasicAuth header stb. Ha valaki talál pl egy XSS-t és van egy phpinfo() file a szerveren, lényegesen javulnak az esélyei. Van egy raklap .hu domain nevem (~400k) és gondoltam, hogy megnézem...

 

blog.hu Blind SQL Injection

szeptember 28th, 2011 | 0 Comments | Hall of shame, PoC

UPDATE: Mivel valóban lekapcsolták a régi admin felületet ezért “publikálnám” ez a bejegyzést is, elég régi darab (2011 Szeptember) de működött. Így utólag csak annyi megjegyzésem van hogy egy bináris keresés némileg gyorsabb lett volna, és azóta már azt használok. Van egy újabb Blind SQLi project a bbqsql ami némileg gyorsabb hiszen akár 100 – 200 “szálon” is futhatnak a...