Huhu.

Vor ca. zwei Wochen habe ich auf der PayPal Labs Seite XSS Lücken gefunden und diese an die Site Security Stelle von PayPal weitergeleitet.
Einen Tag davor hatte ich noch eine Kleinigkeit an PayPal weitergeleitet, dabei warnten mich HooHead und Uwe davor, dass PayPal ziemlich streng bei so etwas vorgeht. Dieses Verhalten hatte man auch schon öfter in den Medien beobachten können.

Nicht einmal zwölf Stunden nach dem ich die Mail an PayPal gesendet hatte, bekam ich eine Antwort, mit der Bitte, den Anhang mit einem Passwort zu verschlüsseln und die Endung umzubenennen, weil die Anhänge sonst herausgefiltert werden würden. Gesagt getan. Danach lief alles sauber. Gestern bekam ich die Bestätigung, die ich angefragt hatte, um die Vuln zu veröffentlichen.

Ich bin sehr positiv überrascht von diesem Verhalten. Hätte ich ehrlich gesagt nicht von PayPal erwartet, die Leute beim SecTeam von PayPal scheinen wohl begriffen zu haben, dass solche Tipps nett gemeint sind und nicht provokativ etc.

Zur Vuln:
bursali's vulnerability database | www.paypal-labs.com ~ Cross Site Scripting

Wünsche Euch noch einen schönen Freitag,
~bursali

Guten Abend.

Seit langer Zeit mal wieder ein Blogbeitrag und dieses Mal auch ein schöner.
Ich habe letzte Woche ein paar Cross Site Scripting Vulns beim Adventskalender der Postbank gefunden und diese direkt gemeldet.
Als am nächsten Tag eine Antwort im Mailfach war, war ich erstaunt. So schnell, um genau zu sein, innerhalb von 24 Stunden, antworten die Kontaktleute eigentlich nie.
Und dieses Mal war es keine 'Lassen Sie uns damit in Ruhe'-Mail, Anklage-, Drohmail etc.
Es war eine nette eMail mit dem Hinweis, dass es direkt weitergeleitet wurde und man mich benachrichtigt, wenn alles gefixxt ist.
So ließ die zweite Mail nicht lange auf sich warten, mit einer Erklärung, einem Dankeschön und dem Hinweis, das man alles gründlich überprüft habe und alles sauber ist.

Genau SO einen Gesprächspartner wünscht man sich!

Zu der Vuln geht es hierlang:

bursali's vulnerability database | www.adventskalender.postbank.de ~ Cross Site Scripting

Mit freundlichen Grüßen,
~bursali

Guten Morgen.

Lange wurde dieser Tag erwähnt, sei es in den Medien, im Twitter oder im Irc.
Schon die ganze Zeit haben bestimmte Twitteracounts wie AnonOps oder Sabu betont, dass sie nicht wissen, von wem diese Aktion gestartet wurde und das diese Aktion keinen wahren Anteil hat.

So auch in den letzten Tagen im Twitter nachzulesen.
Hier mal ein Screenshot von AnonOps:

Sowie von Sabu, der diese Aktion für 'nicht fruchtbar' hält. Außerdem betont Er, dass die einzige effektive Möglichkeit, das Facebooknetzwerk zu bekämpfen, das Abbrennen der/des Datencenter(s) ist.

Ich denke Sabu hat mit seiner indirekten Aussage, dass man Facebook per DDos nicht in die Knie zwingen kann, Recht. Trotzdem kann man gespannt sein, was der Tag so bringen wird. Große Überraschungen sollten aber ausbleiben. (;

~ Update
Ich habe heute einen Link im Twitter zugesandt bekommen, wo die Person hinter der #opFacebook Aktion enttarnt wurde. Hier sieht man wieder, dass Anonymous zum Größtenteil kein Kinderverein ist.
Pastebinlink | Mirror

Schönen Samstag wünsche ich Euch,
~bursali.

Moin.

Vor ein paar Tagen bin ich auf den YouTube Channel von Becks gestoßen, wo Er Sceneuser interviewt.
Die Idee hat mir auf Anhieb gefallen und deshalb gibts hier eine Empfehlung für Ihn.

Besucht mal seinen Kanal: BecksScene - YouTube

Was ich allerdings bemängeln muss, ist die Lautstärke der Interviews.
Die Gäste sind meist sehr leise und Becks sehr laut. Hat man dann noch ein Headset an und will dem Gast zuhören, muss man lauter machen, redet dann Becks, fliegt einem das Gehörorgan ins All.

Mit freundlichen Grüßen,
~bursali