Komeniusz dev-blog

Mniej więcej dwa miesiące temu poinformowałem rejestratora domen 2be.pl o możliwości potencjalnego wycieku danych osobowych ich klientów z bazy danych. Dostałem wtedy po uszach, że jednocześnie opublikowałem na ten temat wpis na łamach mojego bloga, nie dając obsłudze technicznej czasu na reakcję. W tamtym okresie powiadomiłem teź Pana Administratora o poważnym błędzie XSS w ich serwisie. Co zrobili z tą informacją po dwóch miesiącach? Nic. Co zrobili po poinformowaniu o zakolejkowaniu tego wpisu? Naprawili błąd w przeciągu 24 godzin.

(czytaj dalej…)

Tytuł wpisu parafrazujący znane wszystkim motto JoeMonstera. Mogłoby się wydawać, że tak duży i popularny serwis, po kilku przejściach z bezpieczeństwem w przeszłości (a raczej jego brakiem) będzie dzisiaj wolny od trywialnych błędów. Niestety, po zalogowaniu, spędzając trochę minut na stronie znalazłem kilka „perełek”.

(czytaj dalej…)

Mimo, iż dziury wykorzystujące atak typu XSS można bardzo łatwo załatać to pojawiają się one na wielu stronach. Błąd tego typu można spotkać wszędzie tam gdzie przetwarzane i wyświetlane są dane wprowadzane przez użytkownika, jak na np. najczęstszych celach agresorów czyli księgach gości. Jak można wywnioskować XSS polega na niedostatecznym filtrowaniu danych.

(czytaj dalej…)