Long time no see..

foulenzer

Moin Moin,

ich war leider lange nicht mehr im Blog aktiv. Meine Interessen haben sich ein bisschen verschoben und ich finde aktuell nicht immer die Zeit dazu, neue XSS-Lücken zu finden. Dazu pflege ich parallel zu OBB ein Excel-Dokument mit den Webseiten und den entsprechenden verschickten Benachrichtigungen. Das ist mir ab und an zu viel Aufwand nebendran, das Suchen selbst macht mir weiterhin Spaß. Ich gucke mal, dass ich einmal die Woche die Liste aktualisiere... ;-)

Hatte in der vergangenen Zeit echt liebe und nette Admin/Programmierer-Kontakte, das hebt die Motivation immer wieder hoch. :-)

Endlich fertig!

foulenzer

Habe mit dem Ablegen und Bestehen der mündlichen Prüfung heute meine Ausbildung beendet! :-) Bin mit dem Ergebnis mehr als zufrieden und es ist besser, als ich gedacht habe! Vielen Dank an Alle, die mich auf dem Weg unterstützt haben! :-* Besonderer Dank gilt meiner Freundin, meinen Eltern, meinem Chef und R., der mich getreu seinem Motto "Fordern und Fördern" unter seine Fittiche genommen hat. Ohne Euch hätte ich das niemals so gut geschafft. DANKE!

New approach?

foulenzer

Ich hatte gestern und heute Kontakt zu einer netten Frau von der Bundesagentur für Arbeit. Ich hatte auf einer Beratungswebseite eine XSS-Lücke gefunden, allerdings zunächst keine Antwort bekommen. Sie hatte meine erste Mail zunächst als Spam abgetan und ignoriert, dann aber auf meine zweite Mail geantwortet. Wir konnten uns dabei über einige Aspekte meiner Erinnerungsmail austauschen, sodass ich zu dem Schluss gekommen bin, meine Meldungen / Reminder anders anzugehen.

Ich werde in den folgenden Fällen ohne groß Details zu nennen einfach nur nach einem Sicherheitskontakt oder Ansprechpartner fragen. Natürlich werde ich auf eine Sicherheitslücke verweisen, aber wie gesagt ohne Details. Ist bestimmt interessant, ob und wie sich die Statistiken ändern werden... :-)

P.S.: Fairerweise muss man sagen, dass meine ersten ca.50 Funde auf vielen inaktiven / nicht mehr gewarteten Webseiten waren. Das muss ich irgendwie dabei berücksichtigen.
Kategorien: XSS

Für die Statistik!

foulenzer

Um den Überblick über verschickte Benachrichtigungen, versendete Mails, Antworten, Belohnungen, etc. zu behalten, habe ich mir ganz altmodisch eine Excel-Tabelle angelegt. Ich fand dabei folgende Zahlen interessant:

Summe Antworten 37
Summe Patched 69
Summe Rewards 10
Summe Bounties 295 € (ausgenommen Gutscheine, Rabatte, Freikarten, etc.)

Dazu folgende Daten von OpenBugBounty.org:

Total reports: 193
Total reports on VIP sites: 8
Kategorien: XSS

Winterpause adé!

foulenzer

Die Winterpause neigt sich dem Ende, die Feiertage klingen noch langsam aus. Alles geht langsam aber sicher wieder in die alte Routine über, was ich persönlich nicht schlimm finde. Ich mag Routine, gewohnte Sachen... In der Zwischenzeit habe ich andere Hobbies weiter ausgeprägt, z.B. Brettspiele (Detective, Villen des Wahnsinns,...) und ich habe es wirklich genossen und genieße es weiterhin! :-) Habe mir auf jeden Fall vorgenommen, hier und auf OBB wieder aktiver zu werden, wahrscheinlich aber richtig erst wieder nach meiner mündlichen Prüfung am 20.1.20. Ich pflege parallel eine Excel-Tabelle um einen Überblick zu behalten, wem ich wann welche Mail geschrieben habe. Darin gleiche ich auch die Daten mit OBB über erfolgreiche Disclosures ab. Allerdings habe ich nur 58 gefixte Seiten, OBB zeigt mir 59 an. Irgendwo hat sich eine Domain versteckt...

Edit: Hab sie gefunden, war eine der ersten 50. ;-)

OpenBugBounty Zertifikat!


Yeah! Habe heute mein erstes Zertifikat für 50 erfolgreich gesicherte Webseiten von OBB erhalten! On to the next...
Kategorien: XSS

Ich bin enttäuscht...

Wie bereits berichtet, hatte ich ja eine "größere" Lücke gefunden, von der alle betreuten Webseiten eines Medienhauses betroffen waren. Davon, dass sich um die Schwachstelle gekümmert wird, habe ich nur von einem der Webseitenbetreiber erfahren. Auch jetzt, nachdem die Lücke mutmaßlich geschlossen wurde (ich kann das Problem nicht mehr nachstellen) habe ich keine Antwort, kein Danke, kein Nichts von dem Medienhaus erhalten. Das hat mich doch sehr enttäuscht! Ich lege immer Wert darauf, dass ich NIE etwas für meine Arbeit verlange, aber ein "Vielen Dank für's Melden!" wäre doch nicht zu viel gewesen? Vielleicht kommt ja noch eine Reaktion, ich rechne allerdings aber nicht mehr damit...
Kategorien: XSS

HoHoHo!

foulenzer

Ich wünsche allen Lesern eine frohe Vor-Weihnachtszeit! Langsam wird es ernst, nächste Woche ist Heiligabend! Vom großen Medienhaus gibt es weiterhin keine Nachricht. Werde dort heute nochmal meine Hilfe anbieten. In der Zwischenzeit war ich nicht ganz untätig und habe weitere Lücken auf bekannten Webseiten gefunden. Mehr dazu in den kommenden Tagen. Auch mein Amazon-Konto hat sich gefreut: Ich habe weitere 20 € als Gutschein geschenkt bekommen! Vielen Dank!
Kategorien: XSS

13 Webseiten mit identischer Lücke?

foulenzer

Ich habe vor etwa einer Woche eine XSS-Lücke bei einer Nachrichtenseite gefunden. Anfangs hatte ich noch die Webseitenbetreiber selbst kontaktiert. Als ich allerdings feststellte, dass bei vielen Nachrichtenseiten immer die identische Lücke auftrat, dachte ich an ein allgemein eingesetztes CMS. Tatsächlich scheint es aber wohl eine halbwegs eigene Konstruktion eines größeren Medienhauses zu sein.

Habe bisher keine Antwort von dem Unternehmen bekommen, ein betroffener Webseitenbetreiber verriet mir aber, dass man dort bereits an einer Lösung arbeitet. Ich bin mal gespannt und stehe für Infos und Hilfe natürlich gerne zur Verfügung!
Kategorien: XSS

Vielen Dank!

foulenzer

Ein großes Dankeschön an den nächsten tollen Kontakt mit einem Webseiten-Verantwortlichen und natürlich auch ein herzlichen Dank für den 50€ Amazon-Gutschein! Besonders vor Weihnachten ist dies immer eine gute Idee... ;-)
Kategorien: XSS

Die ersten Monats-Reminder-Mails

foulenzer

Ich habe gerade ein paar Monats-Reminder-Mails (17 an der Zahl) für meine gefundenen XSS-Schwachstellen an "größere" Webseiten-Betreiber* verschickt. Von denen erhoffe ich mir dadurch noch eine Reaktion und bestenfalls eine Schließung der Lücke. Bei den "kleineren" habe ich die Hoffnung mittlerweile aufgegeben...

//*Hab's teilweise ziemlich hoch eskaliert ;-)
Kategorien: XSS

Nachtrag: Weitere Beute

Ich muss hier noch meine bisher größte Bounty nachtragen! Auf der Web-Version einer App konnte ich in einer Personensuchfunktion beim Input-Feld für das Alter eine XSS-Lücke finden. Der Kontakt war überaus freundlich und zielführend. Am Ende standen mir dann sogar 4x25€ Amazon-Gutscheine zu Gute! VIELEN LIEBEN DANK - Ich bin immer noch sprachlos!
Kategorien: XSS

Bin wieder da!

Nachdem ich in der vergangenen Woche sowohl meine Abschlussprüfungen schreiben, als auch meine Projektarbeit abgeben musste und dementsprechend wenig Zeit hatte, bin ich ab dieser Woche wieder unterwegs!
Die Prüfungen lief okay-ish, kommt drauf an, wie die Prüfer bewerten (wie viele Teilpunkte gibt es z.B.). Zum Glück konnte man in jeder Prüfung einen Teil wegstreichen, denn auf verschiedene USV-Modi inkl. Schaltkreise war ich nicht vorbereitet! ;-)

Tagesticket Vitaltherme & Saunabereich

foulenzer

Durfte heute im Briefkasten eine schöne Überraschung vorfinden: Habe einen super lieben Brief mit zwei Tageskarten für eine Vitaltherme mit Saunabereich erhalten. Vielen lieben Dank an den edlen Spender! Ich freue mich schon sehr auf den Besuch! Ich muss mich nur noch mit dem Wort "textilfreier Bereich" anfreunden... ;-)
Kategorien: XSS

Spielwaren als Belohnung

foulenzer

Ich freue mich natürlich immer über jede Zuwendung, die Webseitenbetreiber mir entgegenbringen. In diesem besonderen Fall handelte es sich um einen Rabattcode für Spielfiguren für Kinder. Ich habe mich im Shop umgeschaut, aber nichts Passendes für mich gefunden. Daher werde ich einmal nachfragen, ob ich den Code z.B. an einen Kindergarten o.Ä. weitergeben darf. Meiner Meinung nach eine gute Idee. ;-)
Kategorien: XSS

Seite 2 von 2, insgesamt 25 Einträge