XSS-Lücke auf Liveleak.com

Veröffentlicht: 14. September 2014 in IT-Security
Schlagwörter:, , ,

„◾If there’s a leak out of my administration, I want to know who it is.“ – Karl Rove

Es geht in die zweite Runde! Nach Youporn und einiger Verbundseiten entdeckte ich gestern auf Liveleak.com eine Lücke die es ermöglicht eigenen Code einzuschleusen.
Im unten zu sehenden Video zeige ich kurz, wie die Cookie-Session-Daten und Redirect auf liveleak.com ausgeführt bzw. abgegriffen werden können.

Am unteren Bildschirmrand lassen wir einen kleinen Fake-Newsticker laufen, der dort ebenso nicht original hingehört ;-)
Ich hatte @liveleak via Twitter mehrfach auf ein Problem mit der Seite hingewiesen, bekam aber keine Antwort.
Zu beachten: funktioniert mit dem IE, jedoch nicht mit Firefox!

XSSed
Vielleicht reagiert man bei Liveleak nun? Bevor jemand Liveleak-Links verteilt in denen Schadcode (drive-by-download)
oder BeEF-Hooks verteilt werden?

You got „XSSed“! Told ya you are vuln! ;-)

 

Video:

 

 

Advertisements

XSS-Lücken auf Pornoseiten (Youporn & Co.)

Veröffentlicht: 6. September 2014 in IT-Security
Schlagwörter:, , ,

„◾Besser ein anregender Porno als ein mausetoter Klassiker.“ – Ludwig Marcuse

Hier haben wir ihn, einen Klassiker. Einen echten XSS-Klassiker ;-)

Nachdem man mich fragte ob ich denn auch schon bei wirklich bekannten und größeren Seiten Lücken gefunden hätte (was ich ja nachweislich schon habe), machte ich mich diesmal erneut 4-Fun auf die Suche. Und tatsächlich wurde ich bei meiner Suche auf Youporn (ja genau Youporn!) binnen weniger Minuten fündig. Natürlich nicht automatisiert, sondern über eine gute altmodische Suche nach Lücken in „Handarbeit“ ;-)

Die Suche hat weder die Seite, noch deren Ressourcen belastet, also wer auch immer wieder unken möchte „Keep cool and freaking calm down!“
Ich gab Youporn auf verschiedenen Wegen (u.a. per Mail) mehrfach die Chance mich zu kontaktieren, damit ich
Details zu der Lücke benennen kann. Man signalisierte zwar eine grundsätzliche Bereitschaft sich das anzusehen,
aber irgendwie kam von dort auch nicht wirklich das erhoffte Feedback zu Stande… Ein Bug-Bounty Programm
gibt es dort nicht wie man mir mitteilte. Was aber auch nicht entscheidend ist, da es mir beim Auffinden solcher Lücken nicht um Geld geht (hin und wieder zeigen sich Firmen aber durchaus dankbar/ erkenntlich!).

Inzwischen vermute ich, dass man bei Youporn entweder denkt ich möchte mir einen Scherz erlauben und die Lücke
wäre Erfindung, oder man vermutet einen Erpresser (lol, ja solche Gedanken haben manche ernsthaft wenn man nach
einem Bug Bounty Programm fragt!!).

Wie dem auch sei, hier ein Video, in dem ich eine Redirection, ein Alert und ein Formular auf Youporn injecte,…. quasi als Beweis.

Vielleicht reagiert man bei Youporn nun? Bevor jemand Youporn-Links verteilt in denen Schadcode (drive-by-download) oder BeEF-Hooks verteilt werden?

You got „XSSed“! Told ya you are vuln! ;-)

Ach, fast vergessen, Pornhub und ein paar andere Seiten sind auch mit ähnlichen Lücken betroffen. Aber auf solchen Seiten ist ja hoffentlich niemand von euch unterwegs ^^

Video (es musste schnell gehen, Schweinkram ist aber zensiert ^^):

 

 

In eigener Sache

Veröffentlicht: 20. August 2014 in IT-Security, Netzwerke
Schlagwörter:, , , ,

„◾Leistung allein genügt nicht. Man muß auch jemanden finden, der sie anerkennt.“ – Lothar Schmidt

Heute kein gewöhnlicher Blogbeitrag, sondern ein kurzer Beitrag in eigener Sache!

Leider darf ich nicht immer darüber berichten, was ich bei meiner Suche nach Sicherheitslücken/ Zuarbeiten entdecke.
Sicherlich wäre der eine oder andere Fall ein gefundenes Fressen für gewisse Medien gewesen ;-)
Da ich mich aber durchaus in einer gewissen Verantwortung sehe, gehe ich eben solche Schritte definitiv nicht,
wenn es nicht Not tut, oder meinem Schutz dient!

Daher werden die besten Geschichten (insbesondere der letzten 3-4 Wochen) wohl unerzählt bleiben, so gerne
ich euch meine Erfahrungen dahingehend auch mitgeteilt hätte!!
Computer Password Security
In jedem Fall habe ich neue – und vor allem unerwartete – spannende Kontakte knüpfen können.
Viel wichtiger dabei ist mir aber, dass von gewissen Stellen ein direktes Lob bzw. aufrichtige Anerkennung für meine
Arbeit ausgesprochen wurde. Persönlich – unter 2 Ohren bzw. 4 Augen! Zwar können mir gewisse Unternehmen bzw.
Behörden hierzu nicht offiziell mit einer Referenz „aushelfen“, aber man erkennt und schätzt den Wert meiner Arbeit.

Man bewegt sich auch immer in einem Graubereich, wenn man sich bestimmte Seiten, Netze bzw. Systeme „vornimmt“.
Und ich habe mehr als einmal dabei den roten Alarm ausgelöst, wo andere im Vorwege gesagt hätten „lass die Finger davon“ ;-)

Bestärkt durch den Zuspruch und sogar Jobangeboten in diesem Bereich werde ich auch weiterhin mein Wissen im
großen Bereich der IT-Sicherheit erweitern und ethisch vertretbar den zuständigen Unternehmen und Behörden mitteilen.

Ganz besonderen Dank an dieser Stelle an das Innenministerium, die verschiedenen CERT, die Kripo, das LKA und gewisse Nachrichtendienste..!

I FEEL HONORED!