United
Loading....
- Yahoo! again - XSS in Uncategorized (357 Visits)
- Yahoo! again - bad settings? in Uncategorized (252 Visits)
- Fanii nostri in Uncategorized (183 Visits)
- Frustrant in Uncategorized (146 Visits)
- La multi ani România, la multi ani românilor in Uncategorized (137 Visits)
- Weblog.ro - Shell via Local File Inclusion in Uncategorized (119 Visits)
- Yahoo! epic fail - permanent xss unleashed in Uncategorized (50 Visits)
- ... in Uncategorized (38 Visits)
- XSS Ownage - hi5 vs. Yahoo! + video in Uncategorized (2 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in Uncategorized (2 Visits)
- Ce servicii de mail folositi? in (121 Visits)
- Azi este ziua userilor hackersblog.org in (120 Visits)
- De reţinut in (117 Visits)
- Inca o pierdere de timp in (107 Visits)
- De tinut minte in (106 Visits)
- Twitter in (78 Visits)
- Un nou membru in (74 Visits)
- Interviu la Radio Lynx in (70 Visits)
- 2009 in (51 Visits)
- Editori noi. in (35 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (199 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (139 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (104 Visits)
Posted on September 30th, 2009
POC: http://urlz.ro/bit
Later edit: same problem on bitdefender.es, bitdefender.fr and bitdefender.co.uk
September 30th, 2009 at 1:44 am
@ 2fingers,
Ai facut o mica eroare “gramaticala”, caci linga BitDefender.ro, intre paranteze trabuia sa mai indici si .it, .com, .de, .com.au, .es, .fr, .co.uk
September 30th, 2009 at 1:49 am
Sincer iti spun ca mi-a fost lene sa le iau pe toate la rand.
September 30th, 2009 at 2:04 am
@ 2fingers,
Pe mine m-a invins curiozitatea – chiar fiecare site foloseste aceleasi erori??
Si am descoperit ca numai pe BitDefender.SE se foloseste ceva diferit, in rest doar o banala traducere.
Si daca ar fi (nici nu ma indoiesc) un SQL injection? Sau poate toate site-urile folosesc aceeasi Baza de Date?
September 30th, 2009 at 2:15 am
Probabil e un copy/paste tradus pe domeniile respective. Nu absolut toate sunt la fel. Bitdefender.com.mx spre exemplu este diferit. Dar nu neaparat intr-un sens mai bun.
Daca cineva se apuca sa caute cu mare atentie in toate domeniile va gasi probabil mult mai multe vulnerabilitati si nu bag mana in foc ca vor fi doar cele de tip xss. Eu mi-am pierdut rabdarea sa caut cu mare atentie si am stat foarte putin timp ca sa gasesc xss-urile astea, dar pe com.mx, spre exemplu, am vazut niste erori sql care ma fac sa cred ca exista probleme si mai mari in acel domeniu.
Exemplu:
Query SQL:SELECT url,type,description,position FROM catalog.images WHERE id_domain = 'bitdefender.com.mx'AND id_item = '4768'' AND type='Image' ORDER BY position ASC
WARNING [/usr/local/idem/framework/lib/ensi/isql.class.php:80] You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Image' ORDER BY position ASC' at line 3
September 30th, 2009 at 3:07 am
@ 2fingers,
Aha, asta am observat si eu.
Apropo, ceva nu e in regula cu forma de raportare a vulenrabilitatilor. Poti te rog sa te uiti sau sa ma contactezi? merci
September 30th, 2009 at 6:22 pm
Adica mai exact BitDefender au site-urile varza !