Aug 25 2011

phpMyAdmin XSS Tracking Feature

Category: Exploit,Web Application Security,XSSThe-Wildcat @ 14:00

PhpMyAdmin released a new version, 3.4.4 and 3.3.10.4.
Including a security fix for a bunch of XSS vulns concerning the Tracking-Feature :) .

Because they did not include the link to my advisory, I’ll make them available here. Enjoy :) Continue reading “phpMyAdmin XSS Tracking Feature”


Jul 24 2011

phpMyAdmin code execution vulnerability – 2011

Category: Exploit,Security,Web Application SecurityThe-Wildcat @ 17:39

This is going to be a “phpMyAdmin code execution vulnerability” Blog :mrgreen: . No, seriously I’ve been really busy, working for new projects, the whole blabla story :mrgreen: .

But, I’ve recently found two LFI’s and one RCE and some XSS in phpMyAdmin’s latest versions: 3.4.0 – 3.4.3.1. Continue reading “phpMyAdmin code execution vulnerability – 2011″


Sep 16 2008

phpMyAdmin code execution vulnerability

Category: Exploit,SecurityThe-Wildcat @ 23:55

Gerade von der Arbeit nachhause gekommen, wollte ich jetzt eigentlich meine einzige stunde Freizeit etwas anders gestalten, aber nun gut :mrgreen: . So viele fehlerhafte oder halbwahre Aussagen, da muss man etwas korrigieren.

Die Lücke besteht, wie bereits berichtet, in phpMyAdmin Versionen <= 2.11.9.0 und in den Versionen von phpMyAdmin 3. Da diese allerdings noch im RC status sind, sollten diese nirgends in Produktivumgebungen Verwendung finden. Continue reading “phpMyAdmin code execution vulnerability”


Jul 08 2008

XSS auf heise.de/heisetreff.de

Category: Exploit,Security,XSSThe-Wildcat @ 10:00

Vor ca einem Monat hatte ich auf heise.de nach potentiellen Lücken gefahndet und wurde wenig später auf www.heisetreff.de fündig. Heisetreff ist eine Art Kleinanzeigenmarkt der noch weiteren Umfang bietet, Eventkalender usw. Continue reading “XSS auf heise.de/heisetreff.de”


Jul 02 2008

Code Snippets

Category: Exploit,Web Application Security,XSSThe-Wildcat @ 03:26

Wenn jemand gewisse Cookies von einer Domain “abgreifen” muss, könnten diese beiden Code Snippets hilfreich sein. Das erste PHP-Script erspart einem immer wieder ein neues Script zu schreiben weil man hier und da einen Wert mehr braucht als dort o.ä.

Mittels dem Parameter “c” werden dem Script durch : separiert die Werte mittgeteilt die übermittelt werden. Über den optionalen Parameter “l” kann ein Dateiname festgelegt werden. Anschließend müssen natürlich noch die benutzerdefinierten Werte übergeben werden.
Continue reading “Code Snippets”


Jul 02 2008

Das ICQ-Drama

Category: Allgemeines,Lifestyle,TechnologieThe-Wildcat @ 01:49

Seit ca 16 Uhr dürfte kaum noch jemand mit einem alternativ Client ICQ nutzen können. Die Meldung von Pidgin dazu ist

your icq client is too old, update it on pidgin.im

Die neueste Version ist allerdings 2.4.2 . Grund dafür ist eine Änderung vom ICQ-Team. Um die Anwender zu dem Upgrade auf ICQ 6.0 zu zwingen, wurden alle Clients die ältere Versionsstrings senden ausgesperrt. Als Error-Code kommt ein “GENERAL_FAILURE” und die Error-URL ist der Downloadlink zur neuesten ICQ-Version. Continue reading “Das ICQ-Drama”


Jun 24 2008

Datengau unter Verwendung kommunaler Behördensoftware von HSH

Category: Allgemeines,SecurityThe-Wildcat @ 20:09

Wie vor kurzem bekannt wurde gab es ein “Leck” in der kommunalen Behördensoftware der Meldeämter.

Auf einigen Seiten gibt es durchaus Übertreibungen des Ausmaßes dieses Patzers. Fakt ist das ca 15 Anwender dieser Software betroffen waren und nicht alle (über 400 wie teilweise berichtet) die diese einsetzen. Continue reading “Datengau unter Verwendung kommunaler Behördensoftware von HSH”


Jun 20 2008

this actually made my day

Category: Fun,SecurityThe-Wildcat @ 18:08

pdp_bon


Wirklich sehr amüsant :mrgreen: . Danke dafür pdp :lol:
Für alle die es nicht verstehen und/oder sehen, man beachte den Teil WEP 64 Bit was an sich schon sehr mies ist. Aber die 2 folgenden Zeilen sind noch schärfer :mrgreen:


May 31 2008

www.gamepn.com der (Alp)traum eines jeden Pentester

Category: Web Application Security,XSSThe-Wildcat @ 18:49

Am heutigen (sehr warmen :mrgreen: ) Samstag, erinnerte ich mich dunkel an eine Spieleplattform die vor etwas über einem Jahr die Pforten in Form einer Betaphase öffnete. Sogar heise.de berichtete darüber, siehe “Netzwerk für Gamer startet öffentlichen Beta-Test“.

Woran ich mich auch nur zu gut erinnern konnte waren die diversen Sicherheitslücken die die Plattform beinhaltete. Continue reading “www.gamepn.com der (Alp)traum eines jeden Pentester”


May 15 2008

[Update++] Vorhersagbare openssl Schlüssel

Category: SecurityThe-Wildcat @ 11:27

Lange überlegt ob ich mich dieser “hype” Sicherheitsmeldung auch anschließen soll oder einfach nix dazu sagen werden. Nun da ihr diese Zeilen hier lesen könnt, kann man stark davon ausgehen das ich dazu auch noch etwas loswerden möchte :mrgreen:

Zuerst, diese Lücke betrifft ausschließlich Debian Systeme und Systeme die von Debian abgeleitet sind, wie z.B. (*)buntu, Knoppix und so weiter. Continue reading “[Update++] Vorhersagbare openssl Schlüssel”


Page 1 from 612345...Last »