Posted by bursali | Posted in XSS | Posted on 23.12.2011 @ 13:59:10
0
Huhu.
Vor ca. zwei Wochen habe ich auf der PayPal Labs Seite XSS Lücken gefunden und diese an die Site Security Stelle von PayPal weitergeleitet.
Einen Tag davor hatte ich noch eine Kleinigkeit an PayPal weitergeleitet, dabei warnten mich HooHead und Uwe davor, dass PayPal ziemlich streng bei so etwas vorgeht. Dieses Verhalten hatte man auch schon öfter in den Medien beobachten können.
Nicht einmal zwölf Stunden nach dem ich die Mail an PayPal gesendet hatte, bekam ich eine Antwort, mit der Bitte, den Anhang mit einem Passwort zu verschlüsseln und die Endung umzubenennen, weil die Anhänge sonst herausgefiltert werden würden. Gesagt getan. Danach lief alles sauber. Gestern bekam ich die Bestätigung, die ich angefragt hatte, um die Vuln zu veröffentlichen.
Ich bin sehr positiv überrascht von diesem Verhalten. Hätte ich ehrlich gesagt nicht von PayPal erwartet, die Leute beim SecTeam von PayPal scheinen wohl begriffen zu haben, dass solche Tipps nett gemeint sind und nicht provokativ etc.
Zur Vuln:
bursali's vulnerability database | www.paypal-labs.com ~ Cross Site Scripting
Wünsche Euch noch einen schönen Freitag,
~bursali
Posted by bursali | Posted in XSS | Posted on 10.12.2011 @ 19:41:25
4
Guten Abend.
Seit langer Zeit mal wieder ein Blogbeitrag und dieses Mal auch ein schöner. 
Ich habe letzte Woche ein paar Cross Site Scripting Vulns beim Adventskalender der Postbank gefunden und diese direkt gemeldet.
Als am nächsten Tag eine Antwort im Mailfach war, war ich erstaunt. So schnell, um genau zu sein, innerhalb von 24 Stunden, antworten die Kontaktleute eigentlich nie.
Und dieses Mal war es keine 'Lassen Sie uns damit in Ruhe'-Mail, Anklage-, Drohmail etc.
Es war eine nette eMail mit dem Hinweis, dass es direkt weitergeleitet wurde und man mich benachrichtigt, wenn alles gefixxt ist.
So ließ die zweite Mail nicht lange auf sich warten, mit einer Erklärung, einem Dankeschön und dem Hinweis, das man alles gründlich überprüft habe und alles sauber ist.
Genau SO einen Gesprächspartner wünscht man sich!
Zu der Vuln geht es hierlang:
bursali's vulnerability database | www.adventskalender.postbank.de ~ Cross Site Scripting
Mit freundlichen Grüßen,
~bursali
Posted by bursali | Posted in LFi, SQLi, XSS | Posted on 27.06.2011 @ 15:40:08
4
Guten Tag.
Anfang des Monats bin ich über einen Tweet auf die Seite gestoßen und habe mich etwas damit beschäftigt. Das Ergebnis war nicht sehr erfreulich, nach der Rückmeldung, dass alles gefixxt ist, kann ich es nun veröffentlichen.
 www.zecurion.com - SQL Injection - Proof |
|
Nähere Informationen.
Mit freundlichen Grüßen,
~bursali
Posted by bursali | Posted in SQLi, XSS | Posted on 09.06.2011 @ 17:56:43
0
Guten Abend.
Ich habe vor ein paar Tage eine Mail an www.charts.de verschickt und habe heute morgen eine Antwort erhalten, dass alles gefixxt ist.
 www.charts.de - SQL Injection - False |
 www.charts.de - SQL Injection - True |
 www.charts.de - Cross Site Scripting |
|
Nähere Informationen.
Ein netter Kontaktpartner muss ich sagen, außerdem nettes Wortspiel in seiner Mail. (;
Hallo
Besten Dank für den Hinweis... und danke an Petrus für das Regenwetter.
[...]
Mit freundlichen Grüßen,
~bursali
