http://www.the-wildcat.de All around Websecurity Mon, 22 Dec 2008 12:25:53 +0000 http://backend.userland.com/rss092 en Gerade von der Arbeit nachhause gekommen, wollte ich jetzt eigentlich meine einzige stunde Freizeit etwas anders gestalten, aber nun gut :mrgreen: . So viele fehlerhafte oder halbwahre Aussagen, da muss man etwas korrigieren. Die Lücke besteht, wie bereits berichtet, in phpMyAdmin Versionen <= 2.11.9.0 und in den Versionen von phpMyAdmin 3. ... http://www.the-wildcat.de/phpmyadmin-code-execution-vulnerability/ Vor ca einem Monat hatte ich auf heise.de nach potentiellen Lücken gefahndet und wurde wenig später auf www.heisetreff.de fündig. Heisetreff ist eine Art Kleinanzeigenmarkt der noch weiteren Umfang bietet, Eventkalender usw.   Es befanden sich über 6 XSS Lücken auf der Seite. "Persistent" sowie "Reflected". Da sieht man wieder das selbst Seiten ... http://www.the-wildcat.de/xss-auf-heise_heisetreff_de/ Wenn jemand gewisse Cookies von einer Domain "abgreifen" muss, könnten diese beiden Code Snippets hilfreich sein. Das erste PHP-Script erspart einem immer wieder ein neues Script zu schreiben weil man hier und da einen Wert mehr braucht als dort o.ä. Mittels dem Parameter "c" werden dem Script durch : separiert die ... http://www.the-wildcat.de/code-snippets/ Seit ca 16 Uhr dürfte kaum noch jemand mit einem alternativ Client ICQ nutzen können. Die Meldung von Pidgin dazu ist your icq client is too old, update it on pidgin.im Die neueste Version ist allerdings 2.4.2 . Grund dafür ist eine Änderung vom ICQ-Team. Um die Anwender zu dem Upgrade auf ... http://www.the-wildcat.de/das-icq-drama/ Wie vor kurzem bekannt wurde gab es ein "Leck" in der kommunalen Behördensoftware der Meldeämter. Auf einigen Seiten gibt es durchaus Übertreibungen des Ausmaßes dieses Patzers. Fakt ist das ca 15 Anwender dieser Software betroffen waren und nicht alle (über 400 wie teilweise berichtet) die diese einsetzen. Aber nicht nur das ... http://www.the-wildcat.de/datengau-unter-verwendung-kommunaler-behoerdensoftware-von-hsh/ Wirklich sehr amüsant :mrgreen: . Danke dafür pdp :lol: Für alle die es nicht verstehen und/oder sehen, man beachte den Teil WEP 64 Bit was an sich schon sehr mies ist. Aber die 2 folgenden Zeilen sind noch schärfer :mrgreen: Original Link http://www.the-wildcat.de/made-my-day/ Am heutigen (sehr warmen :mrgreen: ) Samstag, erinnerte ich mich dunkel an eine Spieleplattform die vor etwas über einem Jahr die Pforten in Form einer Betaphase öffnete. Sogar heise.de berichtete darüber, siehe "Netzwerk für Gamer startet öffentlichen Beta-Test". Woran ich mich auch nur zu gut erinnern konnte waren die diversen Sicherheitslücken ... http://www.the-wildcat.de/gamepn-vulnerable_by_default/ Lange überlegt ob ich mich dieser "hype" Sicherheitsmeldung auch anschließen soll oder einfach nix dazu sagen werden. Nun da ihr diese Zeilen hier lesen könnt, kann man stark davon ausgehen das ich dazu auch noch etwas loswerden möchte :mrgreen: Zuerst, diese Lücke betrifft ausschließlich Debian Systeme und Systeme die von Debian ... http://www.the-wildcat.de/vorhersagbare-openssl-schluessel/ Am Wochenende fand ich abermals nach kurzer Suche, eine weitere XSS-Lücke in phpMyAdmin. Die Lücke befindet sich in den Tabellenkommentaren. Diese werden in der Druckansicht der Tabelle nicht ausreichend escaped und können so ausgenutzt werden um Javascript-Code im Kontext der Seite auszuführen und z.B. die Cookies des Anwenders zu stehlen. ... http://www.the-wildcat.de/phpmyadmin-2116-xss-vulnerability/ Als ich heute meinen alten Handyvertrag kündigen wollte, stieß ich wieder auf das altbekannte Problem: Wo waren noch gleich die Standardkündigungsschreiben, der Formbrief, .... bei der letzten Formatierung wieder verlegt? Die Vorlagen waren schnell gefunden, nur der Standardkündigungstext nicht. Da man ja bekanntlich sehr faul ist :-D habe ich Mama google ... http://www.the-wildcat.de/einfache-vorlage-handyvertrag-kuendigen/