XSS su Twitter, siamo a rischio worm

21 settembre 2010 - Fonte: http://www.ihteam.net/blog
E’ di tipo onMouseOver l’XSS che si sta diffondendo a macchia d’olio su twitter proprio in queste ore. Si riconosce immediatamante dal fatto che il twitt ha uno sfondo completamente nero: Il codice che viene richiamato è il seguente: Versione testo: http://a.no/@”onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#000;background:#000;/ Il codice non fa’ niente di speciale se non re-twittare il bug ...

Leggi il seguito »

Nessun commento »

Inserito in , , , , ,

Problemi di privacy per Fastweb Italia

2 settembre 2010 - Fonte: http://www.ihteam.net/blog
Un problema di sicurezza sull’infrastruttura fastweb (ora pienamente risolto) consentiva ad utenti malintenzionati di reperire informazioni riservate di un’utenza avendo a disposizione solo il codice cliente. Vi lascio un paper che spiega tutto: http://www.ihteam.net/papers/fastweb_information_disclosure.pdf PREVIEW: [+] Segnalazione bug avvenuta il 19 Luglio 2010 [+] Bug fixato il 25 Agosto 2010 [+] Rilascio pubblico il 2 ...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , ,

DLL Hijacking cos’è e come funziona

30 agosto 2010 - Fonte: http://www.ihteam.net/blog
DLL (Dynamic-link library) Hijacking è una nuova metodologia di attacco locale sviluppata e perfezionata da HD Moore (sviluppatore di metasploit) che lavora (per ora) solo su Windows. Il principio di funzionamento è semplicissimo: viene sfruttato il meccanismo di caricamento delle DLL di windows. Come sappiamo gli EXE richiamano le DLL su PATH predefinite. Se non ...

Leggi il seguito »

Nessun commento »

Inserito in , , , ,

XSS su youtube già pecciato. Allarmismo immotivato in Italia

5 luglio 2010 - Fonte: http://www.ihteam.net/blog
Allarmismo immotivato! E’ l’unica parola che mi viene in mente in questo momento! Oggi è uscio su LaStampa e Repubblica un articolo che allarmava gli utenti inquanto Youtube era stato “hackerato“/”bucato“. Dagli screen che propongono si vede chiaramente che si tratta di un XSS: Tutti sappiamo che grazie ad un XSS è possibile prendere i cookie di un ...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , ,

Account iTunes violati! Attenzione alla carta di credito

5 luglio 2010 - Fonte: http://www.ihteam.net/blog
Notizia venuta subito a galla grazie a Twitter ed ai social network (vedi che a qualcosa servono allora . Molti utenti si sono trovati una bolletta dell’Apple store per applicazioni, o meglio ebook, che non hanno mai richiesto! Tutti gli ebook richiesti erano stati prodotti da una società con sede in Vietnam, quindi i probabili ...

Leggi il seguito »

Nessun commento »

Inserito in , , , , ,

Un anno di backdoor su Unrealircd

13 giugno 2010 - Fonte: http://www.ihteam.net/blog
Notizia di poche ore fa! Unrealircd aveva un backdoor! Dal report fatto dagli sviluppatori sembra che sia stato violato il repository che conteneva la versione 3.2.8.1, così facendo hanno potuto inserire una versione modificata di Unrealircd con backdoor annessa. Tutto questo è stato fatto il 10 Novembre 2009… 7 mesi di download e chissà quanti server IRC ...

Leggi il seguito »

Nessun commento »

Inserito in , , ,

Dominator I, il GSM Interceptor per i governi

12 maggio 2010 - Fonte: http://www.ihteam.net/blog
Si chiama Dominator I ed è stato sviluppato da una società Americana chiamata Meganet Corporation. Questo strumento del male permette di intercettarechiamate ed sms, registrare chiamate, determinare la posizione di qualsiasi cellulare GSM sia nei paraggi, in maniera del tutto trasparente per la vera e propria cella telefonica. Viene utilizzata una tecnica hacker conosciuta come Man in ...

Leggi il seguito »

Nessun commento »

Inserito in , , , , ,

Twitter e la ricerca geografica

10 maggio 2010 - Fonte: http://www.ihteam.net/blog
Forse non tutti sanno che su twitter è possibile fare ricerche geografiche. Con questo tipo di ricerca sarà possibile tenere d’occhio tutte le notizie proveniente da una città o una nazione e perchè no, trovare amici geograficamente vicini a te. Il metodo è semplice, è un po’ come la sintassi di google. Basta cercare ad esempio: “Happy Hour” ...

Leggi il seguito »

Nessun commento »

Inserito in , , , ,

Un Gadgets di Google per rubare password

4 maggio 2010 - Fonte: http://www.ihteam.net/blog
emgent di backtrack|it fa vedere un Google Gadgets in azione. La vulnerabilità stà nel fatto che è possibile aggiungere un proprio widgets che lavora su un dominio esterno senza l’autorizzazione di Google. L’attacco mostrato nel video può essere utilizzato anche per rubare i cookie, avviare Javascript sulla macchina vittima e potrebbe anche essere utilizzato per creare un ...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , ,

Sql Injection sull’ennesima app di facebook

1 maggio 2010 - Fonte: http://www.ihteam.net/blog
Vi ripropongo il documento originale della crew Injector: ================================================================= FaceBook's servers was hacked by Inj3ct0r team. Hack of the year! ================================================================= Original: http://inj3ct0r.com/exploits/11638 [+] English translation Inj3ct0r official website => Inj3ct0r.com __ ...

Leggi il seguito »

Nessun commento »

Inserito in , , , ,