Posted by bursali | Posted in XSS | Posted on 10.12.2011 @ 19:41:25
4
Guten Abend.
Seit langer Zeit mal wieder ein Blogbeitrag und dieses Mal auch ein schöner. 
Ich habe letzte Woche ein paar Cross Site Scripting Vulns beim Adventskalender der Postbank gefunden und diese direkt gemeldet.
Als am nächsten Tag eine Antwort im Mailfach war, war ich erstaunt. So schnell, um genau zu sein, innerhalb von 24 Stunden, antworten die Kontaktleute eigentlich nie.
Und dieses Mal war es keine 'Lassen Sie uns damit in Ruhe'-Mail, Anklage-, Drohmail etc.
Es war eine nette eMail mit dem Hinweis, dass es direkt weitergeleitet wurde und man mich benachrichtigt, wenn alles gefixxt ist.
So ließ die zweite Mail nicht lange auf sich warten, mit einer Erklärung, einem Dankeschön und dem Hinweis, das man alles gründlich überprüft habe und alles sauber ist.
Genau SO einen Gesprächspartner wünscht man sich!
Zu der Vuln geht es hierlang:
bursali's vulnerability database | www.adventskalender.postbank.de ~ Cross Site Scripting
Mit freundlichen Grüßen,
~bursali
Posted by bursali | Posted in LFi, SQLi, XSS | Posted on 27.06.2011 @ 15:40:08
4
Guten Tag.
Anfang des Monats bin ich über einen Tweet auf die Seite gestoßen und habe mich etwas damit beschäftigt. Das Ergebnis war nicht sehr erfreulich, nach der Rückmeldung, dass alles gefixxt ist, kann ich es nun veröffentlichen.
 www.zecurion.com - SQL Injection - Proof |
|
Nähere Informationen.
Mit freundlichen Grüßen,
~bursali
Posted by bursali | Posted in SQLi, XSS | Posted on 09.06.2011 @ 17:56:43
0
Guten Abend.
Ich habe vor ein paar Tage eine Mail an www.charts.de verschickt und habe heute morgen eine Antwort erhalten, dass alles gefixxt ist.
 www.charts.de - SQL Injection - False |
 www.charts.de - SQL Injection - True |
 www.charts.de - Cross Site Scripting |
|
Nähere Informationen.
Ein netter Kontaktpartner muss ich sagen, außerdem nettes Wortspiel in seiner Mail. (;
Hallo
Besten Dank für den Hinweis... und danke an Petrus für das Regenwetter.
[...]
Mit freundlichen Grüßen,
~bursali
Posted by bursali | Posted in Allgemeines, XSS | Posted on 27.03.2011 @ 19:52:46
3
Guten Abend.
Gerade laufen ja die Wahlen und man könnte, wenn man wöllte, auch etwas Spaß mit damit treiben. 
Die Wahlseite der Tagesschau hat eine XSS Verwundbarkeit, durch die man theoretisch falsche Wahlstatistiken auf die Seite setzen könnte.
Mit dem von mir manipulierten Link zeige ich lediglich ein Frame und leite nach sieben Sekunden auf meinen Blog um.
 wahlarchiv.tagesschau.de - Cross Site Scripting |
Link
Außerdem zeigt hier hoohead noch eine Art die Wahlen zu "manipulieren". 
Schönen abend noch,
~bursali
