ZuLL, יומנו של האקר.

עמרי מעדכן שניתן להרשם לWORDCAMP שייערך ב25.10 הרישום פה: http://2007.wordcamp.co.il/signup/

אתמול היתה לאביב ראף ולי שיחת מסנג'ר מעניינת התוצאה היא קוד XML שאביב כתב שיזין FEED עם סקריפט קצת יותר מסוכן מהalertbox שאני דאגתי שFEEDREADER יציג. התוצאה היא הקוד XML הזה: http://raffon.net/fr.xml והDEMO הזה: http://hacking.org.il/demos/fr3gmar.wmv עכשיו יש לזה קצת יותר שיניים – קריאה של קובץ מהדיסק הקשיח ע"י סקריפט שנכתב בXML. חביב, לא? *** עדכון [...]

  Palestine Time נמצא ע"י fingsy אגב, fingsy מצא XSS גם פה: https://torstat.xenobite.eu וזה תוקן.   ערוץ הקניות – נמצא ע"י Shab0t הוא גם מצא את הredirection הבא: KOLYOM

משהו נחמד: ברגע שכותבים פוסט שמכיל סקריפט כזה: <script>alert("XSS")</script> ננסה גם כזה: <body onload="alert(document.cookie)"> וגם אחד כזה: <body onload="document.write('owned')"> הדפדפן הפנימי בפידרידר מפעיל את הסקריפט. תיכף נראה אם הוא מפעיל גם את היתר אגב, POC פה: http://www.hacking.org.il/demos/feedreader3.wmv 

  עזה: gaza.gov.ps - ביקש שאפרסם ללא שם ובלי לשנות את הכיתוב.   דפי זהב: d.co.il נמצא ע"י fingsy   ערוץ הילדים: kidstv.co.il נמצא ע"י L[s]D    Vanilla XSS* שנמצא ע"י Shab0t: באתר סולחה בחיפוש: http://www.sulcha.co.il/Content/SiteSearch.asp להקליד <script>alert("XSS")</script> בחיפוש   * Vanilla XSS – הכוונה לכזה שהוא פחות מזיק כי קשה לבצע אותו כלינק או כמשהו קבוע.