United
- Yahoo! again - XSS in Uncategorized (357 Visits)
- Yahoo! again - bad settings? in Uncategorized (252 Visits)
- Fanii nostri in Uncategorized (183 Visits)
- Frustrant in Uncategorized (146 Visits)
- La multi ani România, la multi ani românilor in Uncategorized (137 Visits)
- Weblog.ro - Shell via Local File Inclusion in Uncategorized (119 Visits)
- Yahoo! epic fail - permanent xss unleashed in Uncategorized (50 Visits)
- ... in Uncategorized (38 Visits)
- XSS Ownage - hi5 vs. Yahoo! + video in Uncategorized (2 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in Uncategorized (2 Visits)
- Ce servicii de mail folositi? in (121 Visits)
- Azi este ziua userilor hackersblog.org in (120 Visits)
- De reţinut in (117 Visits)
- Inca o pierdere de timp in (107 Visits)
- De tinut minte in (106 Visits)
- Twitter in (78 Visits)
- Un nou membru in (74 Visits)
- Interviu la Radio Lynx in (70 Visits)
- 2009 in (51 Visits)
- Editori noi. in (35 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (199 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (139 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (104 Visits)
- B7ackAnge7z (1)
- Nicu Calcea (1)
- andrasi zsolt (1)
- Ovidiu U (1)
- Dumitru (1)
- Andrei Rinea (1)
Posted on February 19th, 2009
We would like to provide you with an update on the vulnerability reported yesterday, on hackersblog.org, for the emea.symantec.com website. Upon thorough investigation, we have determined that the Blind SQL Injection is, in fact, not effective. The difference in response between valid and injected queries exists because of inconsistent exception handling routine for language options.
Thanks again for notifying us of the issue. We will have the modified page up again soon with better exception handling.
HackersBlog note: We appreciate and support this type of response from a company, more so a vendor! This could help other organisation see and understand that the best way to approach things is by open communication and dialog.
February 20th, 2009 at 1:31 am
Hehe, ar fi bine daca toti ar fi asa openminded. Keep up the good work
.
February 20th, 2009 at 8:08 am
Hehe, cred ca ati fost “convinsi”
ca nu e o problema … Mie inca de la inceput problemele de la Symantec si BitDefender mi s-au parut date doar pt a va face publicitate …
Mult succes in continuare in ceea ce faceti, chiar daca nu sunt de acord
February 20th, 2009 at 9:01 am
Am lasat loc raspunsului symantec din fair play …dar asta nu inseamna ca si trebuie sa fiu de acord cu ce au afirmat ei. Drept dovada ca a fost un sql injection de toata frumusetea voi mai posta 2 imagini.Sa vedem cum am numarat coloanele : order+by+2=true http://img22.imageshack.us/img22/9643/orderby2truepy6.jpg
si order+by+3=false http://img12.imageshack.us/img12/7047/orderby3falsexd5.jpg
Deci erau 2 coloane. Daca functia union nu era interzisa aveam de-a face cu un sql injection normal (nu blind adica). Ce treaba are asta cu ” inconsistent exception handling routine for language options” ? Sa fim seriosi. Chiar astept parerile celor care se pricep la sql, pe tema asta
February 20th, 2009 at 2:10 pm
I left symantec response as fair play … but that does not mean that I have to agree with what they have said.
As proof that it was an sql injection in all the beauty, I post 2 printscreens.
Let see how we count the columns: order + by 2 = true : http://img22.imageshack.us/img22/9643/orderby2truepy6.jpg
and order + by 3 = false : http://img12.imageshack.us/img12/7047/orderby3falsexd5.jpg
So there were 2 columns. If the union command was not forbidden we could do normal sql injection (ie not blind).”inconsistent exception handling routine for language options?” ha ?! you try to hide the truth, get away clean! Let’s be serious.
February 20th, 2009 at 2:57 pm
“Sa fim seriosi. Chiar astept parerile celor care se pricep la sql, pe tema asta”
Dap..sa fim seriosi..pai tu nu stii sql?Cred ca ar fi cazul sa veniti si voi cu inovatii si metode noi..nu cu chestii care sunt deja cunoscute de mult timp. Din punctul meu de vedere sunteti niste tipi care au foarte mult timp liber.
Hai..spor!
February 20th, 2009 at 4:25 pm
giany, hai sa te vad pe tine ca vii cu inovatii si metode noi. Ca este foarte usor de criticat. Oricine poate sa o faca.
Si n-are nici o legatura cu faptul ca stii SQL sau nu. N-ai de unde sa stii care este codul sursa, n-ai de unde sa stii care este SQL query-ul complet ca sa-ti dai seama ce se intampla.
Poti sa stii ca este SQL injection cu siguranta doar daca reusesti sa extragi niste date din baza de date (sau macar versiunea bazei de date).
February 20th, 2009 at 4:34 pm
Intr-adevar nu e necesar sa stii SQL, dar, cu siguranta, prezinta un avantaj sa stii care sunt limitarile si cum functioneaza.
Eu de exemplu am restanta la baze de date. In schimb, din metodele postate aici am mai invatat cateva lucururi despre SQL.
February 20th, 2009 at 4:35 pm
Evindent… din punct de vedere al securitatii.
February 20th, 2009 at 6:35 pm
nu inteleg de ce ratatii intra pe blog sa comenteze. giany, de ce nu vii tu cu noi metode sau de ce nu ai raportat tu vulnerabilitatea daca tot critici ? astea sunt metodele. de ce sa te duci la cora cand ai magazinul la scara blocului ? alegi calea mai eficienta.
February 20th, 2009 at 9:05 pm
Astazi in jurul orei 13 la radio infopro se afirma ca mari siteuri: Symantec, BitDefender, Herald Tribune si altele au fost sparte de un hacker roman care a adus mari prejudicii acestor companii, profitind de anumite greseli in codurile siteurilor. Acest hacker este cunoscut sub numele de cod “unu” si acum se depun mari eforturi internationale pentru a fi prins.
massmedia din Romania
February 21st, 2009 at 1:24 am
hahahahahaha cum ba!!!!!! doamne n-am cuvinte…
February 21st, 2009 at 2:38 am
unu, singura soluție logică ar fi să cauți pe google.ro toate siteurile care conțin în titlu ”info”, ”infopro” sau ”pro” și să le dai deface
February 21st, 2009 at 10:06 am
Big site is carefully hacker attack and dos attack becauser secret of furnuturee
Symantec is virus removal program but not security
lol
February 21st, 2009 at 11:03 am
E OK ca ti-au raspuns.
February 21st, 2009 at 11:32 am
Fuck the system, fuck Symantec, fuck the corporate world, fuck consumerism, fuck conformism, fuck rules.
GG Unu.
February 21st, 2009 at 12:09 pm
daca nu ma insel astia cu infopro is legati de protv parca… rusinica
February 21st, 2009 at 12:17 pm
http://www.evz.ro/articole/detalii-articol/840670/Un-hacker-roman-ataca-SUA-i-Rusia/
La nici o lună după ce a spart site-ul producătorului rus de software Kaspersky, hackerul român care-și spune „unu” a lansat o serie de „atacuri” informatice în SUA.
February 21st, 2009 at 12:40 pm
@giany Si atunci daca zici ca exista f mult timp liber si sunt/em niste oameni normali…de ce nu ai facut-o tu ? In loc sa fie apreciata munca celor care au potential, le e dat in cap de la radacina. De ce ?
Stiu ca sunt f multi frustrati care vad lucruri simple si evidente in toate aceste atacuri si isi baga unghia in gat ca nu s-au gandit si ei inainte..dar…ce sa faci…?
February 21st, 2009 at 1:09 pm
[...] این ایراد امنیتی تشکر کرد و قول اصلاح ایراد را داد(اینجا را ببینید). واقعا وقتی این اتفاقات را کنار هم می گذاریم تازه به [...]
February 21st, 2009 at 5:26 pm
aia de la EVZ alti retardati obositi, trist ca nu doare
February 22nd, 2009 at 5:56 am
hehe ati ajuns celebri:
http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=214501999
http://www.masinadescris.com/un-hacker-roman-a-spart-site-ul-celor-de-la-f-secure/
February 22nd, 2009 at 12:25 pm
Poate ca ar trebui sa iesiti in media cu niste explicatii, sa faceti sa inteleaga “natiunea” ca ce faceti voi nu e dark ci e in primul rind help neconditionat, adus tocmai celor care au cistiguri imense din aceste siteuri.
Mass-media acumuleaza rating si isi sporeste cistigurile prin denaturarea realitatii, aveti dreptul, conform deontologiei jurnalistice la o replica.
February 22nd, 2009 at 12:53 pm
intr’o tara in care se inventeaza vinovati pentru crime/jafuri asta nu e o idee foarte buna
February 23rd, 2009 at 5:54 pm
Pot sa dea dreptul la replica tot aici pe site nu trebuie neaparat sa faca interviu cu cineva.
February 24th, 2009 at 2:39 am
“Unu” — Honey-pie, sweetie-pie cum se spune p-acilea pe la astia (americani) fugi, fugi, ascunde-te caci daca or pune mina pe tine o sa devii nevasta cuiva rapid in puscariile americane. Esti probabil tinerel si mama mama ce le mai plac la astia curutzurile tinere. Mai ii tii minte pe aia 34 romanashi neaosi arestati anul trecut de FBI si Politia Romana in Rimnicu-Vilcea la senatorul ala acasa? Eh, servesc saracii de ei acilea la americani drept neveste in puscarie. Si le pling mamele pe acolo pe acasa prin Romania de nu se vad. Deci sfatul meu este: fugi, ascunde-te caci daca pun mina pe tine nu o sa se opreasca la tine numai. O sa ia pe mami, pe tati, pe surioara sau fratiorul — va ia pe toti la intrebari si la futai. In alta ordine de idei, atita timp cit ai un computer cuplat la internet esti de gasit puiule. Nu conta pe faptul ca folosesti anonymizers, proxy, vpn, janus, alte computere hackuite, irc, dc++, etcetera. Toate au loguri si baietii cu ochii verzi sau albastri au scule sa scormoneasca tot.
Nu te-a rugat nimeni sa incerci sa hackuiesti alte site-uri, prin urmare activitatea ta este ilegala si punishable. Ai citit Patriot Act II? Banuiesc ca nu, ca de altfel si ceilalti ratati care au postat pe aici pe blog care iti cinta in struna — “The penalty for attempting to damage protected computers through the use of viruses or other software mechanism was set to imprisonment for up to 10 years, while the penalty for unauthorized access and subsequent damage to a protected computer was increased to more than five years imprisonment.”
Asa ca, again, fugi, fugi si ascunde-te bine caci tocmai te-ai cacat in curtea care nu trebuie…
February 24th, 2009 at 3:32 am
Unu – Poate ai dreptate sa crezi ca ai facut un lucru bun dezvaluind lui Symantec, asa am invatat la scoala in comunism. Ne-au invatat comunistii sa ne scoatem ochii celuilalt, sa ne aruncam cu praf in ochi si sa aratam ca noi sintem mai buni.
Ai sa zici ca tu n-ai trait in comunism, si eu iti raspund ca inca traiesti si pina nu mor toti comunistii din tara aia, tot comunism o sa fie.
“Parerea mea e ca nu traim in jungla, traim intr-o Europa civilizata. Unde daca vor sa te bage la puscarie mai intai ai parte de un proces impartial si de o condamnare definitiva.”
Unu, esti copil, scuza-ma, si ai vazut prea multe episoade din “Law and Order” – in momentul in care te acuza ca ai facut ceva, si au dovezi gramezi (insasi blogul asta e una) nu ei trebuie sa iti dovedeasca vinovatia, TU trebuie sa dovedesti ca esti nevinovat. Ai bani de avocat in America? Sa nu imi vii cu avocatul din oficiu, caci ala e “furnizat” numai cetatenilor americani. Tu esti din Romania, si n-ai sa ai nici un drept in US. Europa — haha, pina nu se rezolva cumva situatia tiganilor si altor minoritati vizibile, Europa o sa se uite cu curul la voi.
Symantec o sa te aduca aici la judecata (cu ajutorul FBI, NSA, DHS, CIA, who cares), pentru ca ai accessat systemele lor fara ca ei sa iti dea voie sau sa ai permisiunea lor — citeste “Computer Fraud and Abuse Act of 1986 and Title 18 U.S.C. Sec. 1001 and 1030.” Daca te zbati un pic, te duc si pe la Guantanamo, chiar daca Obama a dat ordinul sa se defiinteze — mai dureaza, e un proces lung. Internetul nu are limite, asa este! Iar faptul ca esti in Romania si ai intrat prin baza de date din US este similar cu a veni la poarta lui Symantec, a sparge usa si a intra sa le citesti scrisorile din birou. Nu conteaza ca ai spart “usa” de la 8000 de mile distanta, e frauda si te vor trata ca atare.
“Esti cetatean roman , nu ai ce cauta in fata unui tribunal american. Cu atat mai putin intr-o puscarie americana din moment ce tu nu acolo ai comis ceva. (Ai comis ceva, totul este relativ pentru ca pana sentinta nu este defivitiva si irevocabila, trebuie sa functioneze prezumtia de nevinovatie, deci esti nevinovat)”
Again, uita-te la ce au facut in Iraq, sa nu imi spui mie ca au aplicat legile internationale acolo. Americanii insisi recunosc ca nu au respectat conventiile de la Geneva in ceea ce priveste rules of engagement and prisoner treatment. Nu uita ca esti in Romania si cu exceptia citorva tari din lume (majoritatea prin America de Sud – Argentina, Brazilia, Venezuela, etc.) toate celelalte — Europa minunata — au acorduri de extradare cu US. Daca nu ai pasaport cu viza de Argentina, as zice sa think again.
Presupun ca esti un tinar(a). Pune mina pe carte, invata bine, fa-ti o firma dupa ce termini facultatea, sau angajeaza-te la o firma care iti place tie si unde poti sa inveti lucruri interesante. Apoi vino la Symantec sau alta firma si propune-le un contract de security audit si atunci poti sa hackuiesti cit vrei toate serverele lor si firewalluri si baze de date si mai faci si bani frumosi.
“Am crezut si cred in libertatea internetului.”
Foarte bine ca exista Internet si crezi ca e liber… Gindeste-te la urmatorul lucru: Free as in Free speech, not as in Free beer. (GPL license, daca ai citit-o vreodata)
Free speech vine cu consecinte, raspunzi pentru ceea ce scoti pe gura sau … din browser.
“Sa-mi demonstreze mie cineva ca o interogare din browser de tipul http://www.xyz.com/index.php?id=3 este legal dar http://www.xyz.com/index.php?id=3+ORDER+BY+3– este ilegal.”
Nu, nu a zis nimeni ca este ilegala. Am zis eu asa ceva? M-ai inteles gresit.
Publicarea rezultatelor este ilegala precum si a oricarui email de la ei — vezi ca la sfirsitul emailui se afla un disclaimer.
Cind ai accessat baza de date prin intermediul acelei blind sql injection ai intrat in posesia unei informatii care nu iti apartine, ii apartine lui Symantec. Cu asta o sa vina dupa tine, la fel si cei de la New York Tribune si prin alte parti pe unde ai lasat loguri.
Sa nu cumva sa iti treaca prin cap sa Symantec Security Team si New York Times Security Team si altii nu schimba notes as we speak. In domeniul asta, se schimba informatii foarte rapid, d-aia i-au si prins asa repede pe baietii din Rm-Vilcea.
Numai de bine iti urez.
February 24th, 2009 at 4:02 am
Stii ca ai scris atata de pomana nu?
Precedent: Victor Faur acuzat de acces neautorizat in servere NASA. Sentinta 3 ani cu suspendare pentru ca a provocat daune (DDOS + instalare de software pe servere). Nu a anuntat problema, a modificat, a provocat daune. Asta trebuie sa tii minte. Nu s-a acordat extradarea ceruta de americani pentru ca legea romana nu permite asa ceva.
Extradarea se aplica in cazul in care esti acuzat de frauda si probabil cand e vorba de securitatea nationala a unei tari. Legile americane se aplica in cazul in care esti acuzat de frauda. Patriot Act este STRICT american. Aici e Romania.
Accesarea bazei de date prin sql injection poate baga oameni nevinovati la puscarie daca s-ar intampla cum spui tu. Daca pun iframe cu tot cu sintaxa de sql injection pe un site cu trafic mare si ascund orice urma de referrer (pot sa o fac crede-ma) oare cati oameni ar intra la puscarie pentru acele interogari din browser?
Publicarea mailului de la Symantec s-a facut cu acordul lor si a fost un gest normal de fair-play din partea noastra si care se aplica si in afara. Se numeste drept la replica si l-am acordat atunci cand a fost nevoie.
Razboiul din Irak… acolo sunt alte interese si alti oameni implicati. Nu confunda internetul cu altceva.
Cat despre unu, numai pustan nu e.
Calmeaza-te si tine cont ca nu esti primul care ne spune asta (mai putin faza cu patriot act la care am ras de mi-au dat lacrimile si eu si toata lista mea de messenger). Citeste articolele din urma si vei realiza ca suntem constienti de ceea ce s-ar putea intampla pe viitor dar este strict problema noastra nu a vizitatorilor nostri.
Take care.
February 24th, 2009 at 5:17 am
Cum era aia… Cainele moare de drum lung si…?
February 24th, 2009 at 5:43 am
Asa e, am scris atita de pomana. Se pare ca ai dreptate…
Pina nu dai cu capul de pragul de sus nu il vezi p-ala de jos.
N-aveti decit sa va dati cu capul de pereti, poate asa va vine un pic minte.
….
Extradition between Romania and the United States is governed by the bilateral extradition treaty signed in 1925.[11] Obviously a relatively dated treaty, it describes extraditable offenses by employing the laundry list method of specifically designating certain offenses.[12] The relatively limited list includes:
-Murder
-Attempted murder
-Rape, abortion, carnal knowledge of children under the age of twelve years.
-Abduction or detention of women or girls for immoral purposes
-Bigamy
-Arson
-Wilful and unlawful destruction or obstruction of railroads
-Crimes committed at sea (piracy, wrongful sinking of vessels, mutiny/conspiracy to mutiny, assault aboardship)
-Burglary
-Breaking and entering into office of the Government, public authorities, private companies, etc.
-Robbery
-General Forgery / Forgery or falsification of the official acts of the Government
-Counterfeiting
-Embezzlement
-Kidnapping
-Larceny
-Obtaining money, valuable securities or other property by false pretences
-Perjury or subornation of perjury
-Fraud or breach of trust by a bailee, banker, agent
-Slave trade crimes
-Wilful desertion/non-support of minor/dependent children[13]
-Crimes against bankruptcy laws (added via 1937 Supplement)
……..
Faur a scapat in 2006 pentru ca Romania si US aveau un tratat vechi din 1925. Romania a semnat altul in 2007.
http://bucharest.usembassy.gov/us_policy/Press_Releases/Ambassador_Taubman_09102007-en.html
Do your homework inainte sa vorbesti, 2fingers.
Si cum pui tu legal un iframe pe un server cu trafic mare? Legal? De unde ai tu access la un server cu traffic mare?
N-ai tu grija John, ca nu imi fac nici un fel de griji pentru voi.
Vorba e alta, ca din cauza unora ca voi, multi romani plecati sa munceasca in US si alte tari civilizate sint inca aratati cu degetul si chemati la ordine.
Atita si nimic mai mult.
Pina cind o sa mai intimple asa? Voi chiar nu credeti ca s-a cam saturat si Europa cea minunata si alte tari de teribilismul asta de care d-ati dovada? De ce crezi ca sint romanii si Romania tratati cum sint tratati de catre straini?
Din cauza unora ca voi. N-am vazut prea multe proiecte pe Sourceforge.net semnate de vreun romana, si ala in general dintre cei plecati din tara.
N-am vazut vreo distributie de Linux romaneasca ca lumea cu support si distributii clare, updates si tot tacimul. Pina si africanii au versiunea lor de linux.
Asta e. Mai aveti de invatat, mult mult de tot.
La mai mult si la mai mare.
February 24th, 2009 at 6:18 am
Nu intelegi ca nu ne pasa de parerea ta? Ti-ai spus-o deja, de ce insisti sa repeti la nesfarsit aceleasi chestii?
February 24th, 2009 at 10:33 am
Pacepa, scuze copilu’ da esti || si cu una si cu alta, Victor era un script kiddie obosit care nu facea altceva daca sa-si puna bouncers/bots/ircds si de flood, atat facea cu orice “prindea el” si nea aratat asta foarte clar cand a intrat pe mirc cu SirVic.*.nasa.gov, un tantalau si jumatate care se “juca” si-a luat denumirea de White Hats dar nu avea nici o gara cu realitatea. DA! E si normal sa rada lumea de noi cu asemenea specimene, defapt sa rada si cu mai ales dosu’ ca sa nu vrb porno, cand tu reusesti sa agati un access pe un server ex. nasa si-ti pui server de irc pe el, deci e la mintea cocosului sa rada toata lumea de tine, de asta nici americanii nu au facut prea multe in legatura cu si mai ales cazul acela, ca sa nu mai zic ca acel comp nu avea nimic interesant pe el, ci era doar de stocare, si sa-ti mai dau un mic amananunt, in state cand vine vorba de internet identity theft and hacking/etc nu-ti da doar o pedeapsa, te pune sa platesti toate daunele, chiar daca cu o zi inainte a intrat altu si le-a spart servarele, tot pe tine cad toate dat fiind faptul ca nu exista si alte dovezi, de asta erau si scorurile alea prin ziare cu daune si etc.
TRE’ SA FII PREA RATAT CA SA-L COMPARI PE unu CU CIOCOFLENDER ALA DE-L CHEAMA SirVic.
February 24th, 2009 at 11:21 am
catre Pacepa,
eu nu am cuvinte sa comentez ce ai spus tu, in schimb pot sa tapez pentru a te anuntza ca:
tu nu ai creier, dar in schimb ai palme si poti face multe lucruri cu ele, dar in primul rind ar trebuie sa-ti tragi una peste fatza, pentru prinde la curaj si sa spui:
“Sunt un ratat… nu pot fi ca ei… crap de invidie…”
P.S. Daca ai fi fost la fel de bun, ca baietii acestia, sunt sigur ca nu spuneai asa cuvinte, si mai mult ca sigur, NU erai WHiTE…