Author Archives: TomAte92

XSS dfb.de

Veröffentlicht von am 2. Februar 2012 Keine Kommentare

Hatte mal vor einige Wochen schon auf der dfb.de Webseite eine XSS Lücke gefunden gehabt und leider vergessen diese zu melden. Letzte Woche ist mir dann beim Aufräumen auf dem PC die txt Datei wieder in die Hände gefallen und habe dann die Lücke gemeldet! Leider habe ich auch hier keine Rückmeldung auf meine Mail erhalten, aber hauptsache die Lücke ist geschlossen.

Habe es auch leider verpennt einen Screenshot von der XSS zu machen.

Aber so sollte es immer sein, Lücke wird gemeldet und nach dem melden auch direkt vom Betreiber geschlossen!

XSS boerse.ard.de

Veröffentlicht von am 1. Februar 2012 Keine Kommentare

Kurz und knapp: Hatte eine XSS Lücke bei der boerse.ard.deWebseite gefunden. Habe die Lücke gemeldet und nach knapp einer Woche war diese dann geschlossen!

XSS bei boerse.ard.de

Finde es schade, dass ich keine Antwort auf meine E-Mail erhalten habe, aber was solls, hauptsache die Lücke wurde geschlossen!

Universitäten in Deutschland – Sicherheit ist unwichtig?!?

Veröffentlicht von am 30. Januar 2012 Keine Kommentare

Wenn man schon Universität hört, denkt man doch direkt an die ach so klugen Professoren die mit einem Ihr Wissen teilen möchten. Nun gut, warum wird deren Wissen dann nicht verwendet um die zahlreichen Sicherheitslücken auf den jeweiligen Uni-Webseiten zu schließen. Es ist eigentlich richtig faszinierend wie so viele unterschiedliche Universitätswebseiten einfach alle mehrere Sicherheitslücken haben. Von ungepatchten Web/Mailservern bis zu einfachen XSS Lücken und potenziellen SQL-Injections ist einfach alles dabei.

Noch schlimmer ist es finde ich, dass die Mails über die Sicherheitslücken anscheint einfach ignoriert werden oder direkt ohne zu lesen in den Papierkorb wandern. Bis jetzt habe ich schon an 6 verschiedene Universitäten Mails geschrieben weil dort XSS  Lücken und/oder SQL-Injections möglich sind. Aber ich habe noch keine Antwort erhalten noch wurden die Lücken geschlossen. Man bemerke dass die Mails nun schon knapp 6 Wochen her sind.

Habe mittlerweile bei weiteren Uni-Webseiten Lücken gefunden und werde die nun im Laufen der Woche melden, vielleicht gibt es dort Leute die einsichtig sind und Ihre Lücken schließen. Außerdem werde ich noch einen Versuch starten mit den anderen 6 Universitäten Kontakt aufzunehmen damit diese Ihre Lücken auch schließen können.

XSS bei minecraft.net

Veröffentlicht von am 30. Januar 2012 2 Kommentare

Gestern Abend durch einen Zufall eine Cross-Site-Scripting Schwachstelle bei minecraft.net gefunden. Mit der Lücke hätte man Cookies der unwissenden User klauen können und somit hätte einige Accounts den Besitzer wechseln können.
Habe dann heute Morgen den Verantwortlichen für die minecraft.net Webseite via Twitter benachrichtigt und Ihm die Lücke per Mail mitgeteilt. Nach ca. einer Stunde war die Lücke nun geschlossen. Solche Reaktionszeiten wünscht man sich doch wenn man etwas meldet!

XSS bei minecraft.net

Cookies klauen wäre möglich

premiumize.me

Veröffentlicht von am 27. Januar 2012 1 Kommentar

Habe die Tage beim surfen durch das Netz einen netten Dienst gefunden, der vor allem die Personen interessieren könnte die öffters mal legal von OCH laden. Natürlich will man dort immer die volle Geschwindigkeit haben und auch mehrer Files gleichzeitig und ohne Wartezeit laden können. Bei der breiten Auswahl der ganzen OCH geht es natürlich ins Geld wenn man überall einen Premiumaccount hat.

Der Dienst premiumize.me sorgt da für Abhilfe. Im Prinzip kann man sich dort den Zugriff auf mehrere OCH Premiumaccounts kaufen. Aber man kann mit premiumize.me auch auf andere Dienste zugreifen die in Deutschland eigentlich gesperrt sind. Oder auch gesperrte Youtubevideos schauen!

Von Vorteil ist es auch noch das der gesamte Traffic (z.B. beim downloaden von einem OCH) erst über die Server von premiumize.me geht und man somit auch in einer gewissen Weise anonym ist! Die Geschwindigkeit beim downloaden ist auch ganz ok, zumindes habe ich mit meiner 16k Leitung immer Fullspeed gehabt!

Hier mal eine Liste der bis jetzt Unterstützen Dienst

Ich finde den Service echt gut und ist für mich auf jeden Fall sehr nützlich! Werde mir jetzt erstmal nach dem Ablauf von dem Probeaccount einen oder 2 Monate kaufen.

Leider ist es im Moment nur eingeladenen User erlaubt sich anzumelden, aber wer schnell genug ist kann sich gerne über meinen Invite Link hier anmelden: https://secure.premiumize.me/inv/570674586/

Oder einfach mal bei https://cp.ovpn.to/ schauen. Dort gibt es auch Invites! ;)

OMFG -WTF

Veröffentlicht von am 4. Januar 2012 5 Kommentare

Das dachte ich mir eben als ich auf den Server geschaut hatte. Hab dann mal schnell einen Screenshot gemacht und den Server runtergefahren.

htop- Serverauslastung

Nett nicht wahr? Da hatte jemand wohl was gegen mich O.o Mein ganzes nginx accesslog ist vollgespammt von verschiedenen IP’s die mich da zugespammt hatten. Die meisten habe ich nun via iptables geblockt und hoffe das jetzt mal nix mehr kommt!

In diesem Sinne, einen wunderschönen Guten Morgen

Nginx – Verzeichnis schützen

Veröffentlicht von am 28. Dezember 2011 1 Kommentar

Einfach die Config deines Nginx-Servers um folgendes erweitern! Ich beschütze in meinen Fall einfach mal mein wordpress Adminlogin!

 #Verzeichniss sperren
location /wp-admin/ {
auth_basic "Resticted";
auth_basic_user_file /etc/nginx/htpasswd;
}

In der Datei htpasswd muss der Username und Passwort in der folgenden Form stehen
username:cryptetPW
Das Passwort lässt sich hier verschlüsseln: Klick Hier

Achtung: DeepLinks sind weiterhin ohne Passworteingabe erreichbar!

Battlefield3 Config Utility

Veröffentlicht von am 6. November 2011 Keine Kommentare

Gerade beim Surfen im Web gefunden. Mit dem Battlefield3 Config Utility könnt ihr einige Einstellungen an eurem Game vornehmen ohne dass ihr es starten müsst. So kann man zum Beispiel die Auflösung ändern. Ich finde es recht nützlich, weil wenn man dauernt das Spiel starten muss um seine Einstellungen ändern zu können, ist finde ich recht nervig!

Wer das Battlefield3 Config Utility ausprobieren will kann es hier downloaden

Und alle so: YAY

Veröffentlicht von am 6. November 2011 Keine Kommentare

Hi Folks,

nachdem ich ja meinen Blog am Freitag offline gesetzt habe, dachte ich mir was solls, setzt ihn halt wieder online. Wusste ja nicht wie viel euch an meinem Blog liegt ;)

Also hier ist er wieder …mal schauen, vllt finde ich wieder ein wenig Zeit und auch evtl. ein Thema über das ich was schreiben könnte….

So bis mir was einfällt bin ich mal wieder Battlefield3 zocken xD  wer mich adden möchte -> TomAte92 im Battlelog suchen!

 

QTTabBar- Tabs im Windows Explorer

Veröffentlicht von am 21. Oktober 2011 2 Kommentare

Hi Folks,

Kennt ihr das ? Ihr habt etwas am PC zu tun und macht dabei 100 von Windows Explorer Fenster auf. Schnell ist der Bildschirm voller Fenster und der man verliert den Überblick. Nervig!

Abhilfe schafft da ein kleines Programm welches es möglich macht Tabs im Windows Explorer zu nutzen. QTTabBar fügt Tabs ein wie man sie von Firefox kennt. Auch das öffnen und schließen der Tabs ist einfach mit der mittleren Maustaste möglich. Einfach Gut!