bursali's Blog | Home of the CyberTerrorist! » XSS

[XSS] PayPal Labs - www.paypal-labs.com

bursali — Fri, 23 Dec 2011 12:59:10 +0000

Huhu.

Vor ca. zwei Wochen habe ich auf der PayPal Labs Seite XSS Lücken gefunden und diese an die Site Security Stelle von PayPal weitergeleitet.
Einen Tag davor hatte ich noch eine Kleinigkeit an PayPal weitergeleitet, dabei warnten mich HooHead und Uwe davor, dass PayPal ziemlich streng bei so etwas vorgeht. Dieses Verhalten hatte man auch schon öfter in den Medien beobachten können.

Nicht einmal zwölf Stunden nach dem ich die Mail an PayPal gesendet hatte, bekam ich eine Antwort, mit der Bitte, den Anhang mit einem Passwort zu verschlüsseln und die Endung umzubenennen, weil die Anhänge sonst herausgefiltert werden würden. Gesagt getan. Danach lief alles sauber. Gestern bekam ich die Bestätigung, die ich angefragt hatte, um die Vuln zu veröffentlichen.

Ich bin sehr positiv überrascht von diesem Verhalten. Hätte ich ehrlich gesagt nicht von PayPal erwartet, die Leute beim SecTeam von PayPal scheinen wohl begriffen zu haben, dass solche Tipps nett gemeint sind und nicht provokativ etc.

Zur Vuln:
bursali's vulnerability database | www.paypal-labs.com ~ Cross Site Scripting

Wünsche Euch noch einen schönen Freitag,
~bursali

[XSS] adventskalender.postbank.de

bursali — Sat, 10 Dec 2011 18:41:25 +0000

Guten Abend.

Seit langer Zeit mal wieder ein Blogbeitrag und dieses Mal auch ein schöner.
Ich habe letzte Woche ein paar Cross Site Scripting Vulns beim Adventskalender der Postbank gefunden und diese direkt gemeldet.
Als am nächsten Tag eine Antwort im Mailfach war, war ich erstaunt. So schnell, um genau zu sein, innerhalb von 24 Stunden, antworten die Kontaktleute eigentlich nie.
Und dieses Mal war es keine 'Lassen Sie uns damit in Ruhe'-Mail, Anklage-, Drohmail etc.
Es war eine nette eMail mit dem Hinweis, dass es direkt weitergeleitet wurde und man mich benachrichtigt, wenn alles gefixxt ist.
So ließ die zweite Mail nicht lange auf sich warten, mit einer Erklärung, einem Dankeschön und dem Hinweis, das man alles gründlich überprüft habe und alles sauber ist.

Genau SO einen Gesprächspartner wünscht man sich!

Zu der Vuln geht es hierlang:

bursali's vulnerability database | www.adventskalender.postbank.de ~ Cross Site Scripting

Mit freundlichen Grüßen,
~bursali

www.zecurion.com – SQL Injection, LFi & XSS

bursali — Mon, 27 Jun 2011 13:40:08 +0000

Guten Tag.

Anfang des Monats bin ich über einen Tweet auf die Seite gestoßen und habe mich etwas damit beschäftigt. Das Ergebnis war nicht sehr erfreulich, nach der Rückmeldung, dass alles gefixxt ist, kann ich es nun veröffentlichen.

www.zecurion.com - SQL Injection - Proof

Nähere Informationen.

Mit freundlichen Grüßen,
~bursali

www.charts.de - SQL Injection & XSS

bursali — Thu, 09 Jun 2011 15:56:43 +0000

Guten Abend.

Ich habe vor ein paar Tage eine Mail an www.charts.de verschickt und habe heute morgen eine Antwort erhalten, dass alles gefixxt ist.

www.charts.de - SQL Injection - False

www.charts.de - SQL Injection - True

www.charts.de - Cross Site Scripting

Nähere Informationen.

Ein netter Kontaktpartner muss ich sagen, außerdem nettes Wortspiel in seiner Mail. (;

Hallo

Besten Dank für den Hinweis... und danke an Petrus für das Regenwetter.
[...]

Mit freundlichen Grüßen,
~bursali

[XSS] wahlarchiv.tagesschau.de

bursali — Sun, 27 Mar 2011 18:52:46 +0000

Guten Abend.

Gerade laufen ja die Wahlen und man könnte, wenn man wöllte, auch etwas Spaß mit damit treiben.
Die Wahlseite der Tagesschau hat eine XSS Verwundbarkeit, durch die man theoretisch falsche Wahlstatistiken auf die Seite setzen könnte.
Mit dem von mir manipulierten Link zeige ich lediglich ein Frame und leite nach sieben Sekunden auf meinen Blog um.

wahlarchiv.tagesschau.de - Cross Site Scripting

Link

Außerdem zeigt hier hoohead noch eine Art die Wahlen zu "manipulieren".

Schönen abend noch,
~bursali

[XSS] npd-erfurt.de - NPD Kreisverband Erfurt-Sömmerda

bursali — Thu, 24 Mar 2011 11:59:34 +0000

npd-erfurt.de - Screenshot

Link

Mit freundlichen Grüßen,
~bursali

[XSS] spenden.cdu.de

bursali — Wed, 23 Mar 2011 10:23:18 +0000

Und nochmal eine CDU Seite, dieses Mal ist es die Spendenseite. (:

spenden.cdu.de - document.cookie

spenden.cdu.de - frame

Mit freundlichen Grüßen,
~bursali

[XSS] www.dinersclub.de - Diners Club Germany

bursali — Fri, 28 Jan 2011 16:18:01 +0000

Keine Antwort auf meine Mails, scheinbar interessiert es Sie nicht.

www.dinersclub.de - document.cookie

www.dinersclub.de - frame

www.dinersclub.de - simple xss alert

Mit freundlichen Grüßen,
~bursali

[XSS] www.filmpalast.net

bursali — Wed, 05 Jan 2011 18:21:49 +0000

Guten Abend.

Habe heute beim Herumgucken eine XSS Lücke entdeckt. (;
Mail ging um 17.28 Uhr raus, die Antwort kam um 19.01 Uhr! Wirklich vorbildlich.
Ja, sogar ein Dankeschön war in der Mail. <3 Sieht man nicht oft. (;

Vielen Dank für den Hinweis!
Die Sicherheitslücke ist bereits geschlossen!

Mit freundlichen Grüßen
Jaxxxxx xxxxxxxx

Mit freundlichen Grüßen,
~bursali

[XSS] www.radio-fsn.de

bursali — Mon, 03 Jan 2011 17:45:34 +0000

Geht doch!
Lange gesucht & gefunden. <3
Grüße an den CCC! (:

Mit freundlichen Grüßen,
~bursali

[XSS] www.versand-der-bewegung.de

bursali — Mon, 03 Jan 2011 17:05:05 +0000

Die zweite Seite, die beim CCC auf der Nazi-Abschußliste steht. (;

Mit freundlichen Grüßen,
~bursali

[XSS] radio-fsn-versand.de

bursali — Mon, 03 Jan 2011 13:48:55 +0000

Die Seite stand beim CCC unter der Nazi-Abschußliste. (;
Einige werden noch bestimmt noch folgen.

Mit freundlichen Grüßen,
~bursali

[SQLi, XSS] www.server4voice.de

bursali — Sun, 02 Jan 2011 08:14:17 +0000

Guten Morgen.

Bin durch einen Freund auf die Seite gestoßen und hatte diese damals etwas untersucht.
Mehrere XSS Lücken, sowie eine SQL-Injection.

Schönen Sonntag,
~bursali

[XSS] Interpol - www.interpol.int

bursali — Thu, 16 Dec 2010 19:31:47 +0000

No words.

Best regards,
~bursali

[XSS] www.blak.de - Bayerische Landesapothekerkammer

bursali — Wed, 15 Dec 2010 19:22:21 +0000

Ist schon eine lange Zeit her. (;

Mit freundlichen Grüßen,
~bursali

[XSS] DiePresse.com

bursali — Sun, 07 Nov 2010 20:09:59 +0000

'Nabend.

Mail wurde schon vor Wochen verschickt, aber keine Antwort erhalten.. Wie immer eigentlich. (;

Mit freundlichen Grüßen,
~bursali

[XSS] ver.di Bildungsportal

bursali — Thu, 04 Nov 2010 21:50:35 +0000

Jaja, das Stopschild..

Zu ver.di..

~bursali

[XSS] Adobe.com

bursali — Thu, 04 Nov 2010 13:36:21 +0000

Ich habe schon mehr als 20 Meldungen an Adobe versendet, die haben ja bekanntlich genug davon. (;
Dieses mal waren es 7 Stück..

Nur ein Beispiel sollte reichen.
Musste diesmal etwas tiefer graben, habe aber was gefunden am Ende.

Mit freundlichen Grüßen,
~bursali

[XSS] FC Bayern München TV

bursali — Wed, 03 Nov 2010 21:31:09 +0000

Schon ein paar Tage her..

~bursali

[XSS] cdu.de - A short message..

bursali — Tue, 26 Oct 2010 18:24:19 +0000

Guten Abend.

Heute mal ein etwas anderer Beitrag, ich habe auf der CDU Seite eine XSS gefunden und habe zusätzlich Zugriff auf den FTP-Server, jedoch werde ich die Seite nicht defacen. Ich will nämlich keinen Schaden anrichten wie die Hacker in den letzten Tagen, da dies in meinen Augen kindisch ist, deswegen habe ich die Lücke per eMail gemeldet.
Den FTP-Zugang habe ich gerade nachgeprüft, ein Zugang ist nicht mehr möglich.
Die XSS habe ich jedoch nicht gemeldet, da ich eine Nachricht hinterlassen will.

Die Nachricht findet Ihr unter folgendem Link:

http://tinyurl.com/2bagncr

Hier noch ein Screenshot:

Direktlink zum Bild [Danke an darkar. (: ]

Mit freundlichen Grüßen,
~bursali