Long time no see..

foulenzer

Moin Moin,

ich war leider lange nicht mehr im Blog aktiv. Meine Interessen haben sich ein bisschen verschoben und ich finde aktuell nicht immer die Zeit dazu, neue XSS-Lücken zu finden. Dazu pflege ich parallel zu OBB ein Excel-Dokument mit den Webseiten und den entsprechenden verschickten Benachrichtigungen. Das ist mir ab und an zu viel Aufwand nebendran, das Suchen selbst macht mir weiterhin Spaß. Ich gucke mal, dass ich einmal die Woche die Liste aktualisiere... ;-)

Hatte in der vergangenen Zeit echt liebe und nette Admin/Programmierer-Kontakte, das hebt die Motivation immer wieder hoch. :-)

New approach?

foulenzer

Ich hatte gestern und heute Kontakt zu einer netten Frau von der Bundesagentur für Arbeit. Ich hatte auf einer Beratungswebseite eine XSS-Lücke gefunden, allerdings zunächst keine Antwort bekommen. Sie hatte meine erste Mail zunächst als Spam abgetan und ignoriert, dann aber auf meine zweite Mail geantwortet. Wir konnten uns dabei über einige Aspekte meiner Erinnerungsmail austauschen, sodass ich zu dem Schluss gekommen bin, meine Meldungen / Reminder anders anzugehen.

Ich werde in den folgenden Fällen ohne groß Details zu nennen einfach nur nach einem Sicherheitskontakt oder Ansprechpartner fragen. Natürlich werde ich auf eine Sicherheitslücke verweisen, aber wie gesagt ohne Details. Ist bestimmt interessant, ob und wie sich die Statistiken ändern werden... :-)

P.S.: Fairerweise muss man sagen, dass meine ersten ca.50 Funde auf vielen inaktiven / nicht mehr gewarteten Webseiten waren. Das muss ich irgendwie dabei berücksichtigen.
Kategorien: XSS

Für die Statistik!

foulenzer

Um den Überblick über verschickte Benachrichtigungen, versendete Mails, Antworten, Belohnungen, etc. zu behalten, habe ich mir ganz altmodisch eine Excel-Tabelle angelegt. Ich fand dabei folgende Zahlen interessant:

Summe Antworten 37
Summe Patched 69
Summe Rewards 10
Summe Bounties 295 € (ausgenommen Gutscheine, Rabatte, Freikarten, etc.)

Dazu folgende Daten von OpenBugBounty.org:

Total reports: 193
Total reports on VIP sites: 8
Kategorien: XSS

OpenBugBounty Zertifikat!


Yeah! Habe heute mein erstes Zertifikat für 50 erfolgreich gesicherte Webseiten von OBB erhalten! On to the next...
Kategorien: XSS

Ich bin enttäuscht...

Wie bereits berichtet, hatte ich ja eine "größere" Lücke gefunden, von der alle betreuten Webseiten eines Medienhauses betroffen waren. Davon, dass sich um die Schwachstelle gekümmert wird, habe ich nur von einem der Webseitenbetreiber erfahren. Auch jetzt, nachdem die Lücke mutmaßlich geschlossen wurde (ich kann das Problem nicht mehr nachstellen) habe ich keine Antwort, kein Danke, kein Nichts von dem Medienhaus erhalten. Das hat mich doch sehr enttäuscht! Ich lege immer Wert darauf, dass ich NIE etwas für meine Arbeit verlange, aber ein "Vielen Dank für's Melden!" wäre doch nicht zu viel gewesen? Vielleicht kommt ja noch eine Reaktion, ich rechne allerdings aber nicht mehr damit...
Kategorien: XSS

HoHoHo!

foulenzer

Ich wünsche allen Lesern eine frohe Vor-Weihnachtszeit! Langsam wird es ernst, nächste Woche ist Heiligabend! Vom großen Medienhaus gibt es weiterhin keine Nachricht. Werde dort heute nochmal meine Hilfe anbieten. In der Zwischenzeit war ich nicht ganz untätig und habe weitere Lücken auf bekannten Webseiten gefunden. Mehr dazu in den kommenden Tagen. Auch mein Amazon-Konto hat sich gefreut: Ich habe weitere 20 € als Gutschein geschenkt bekommen! Vielen Dank!
Kategorien: XSS

13 Webseiten mit identischer Lücke?

foulenzer

Ich habe vor etwa einer Woche eine XSS-Lücke bei einer Nachrichtenseite gefunden. Anfangs hatte ich noch die Webseitenbetreiber selbst kontaktiert. Als ich allerdings feststellte, dass bei vielen Nachrichtenseiten immer die identische Lücke auftrat, dachte ich an ein allgemein eingesetztes CMS. Tatsächlich scheint es aber wohl eine halbwegs eigene Konstruktion eines größeren Medienhauses zu sein.

Habe bisher keine Antwort von dem Unternehmen bekommen, ein betroffener Webseitenbetreiber verriet mir aber, dass man dort bereits an einer Lösung arbeitet. Ich bin mal gespannt und stehe für Infos und Hilfe natürlich gerne zur Verfügung!
Kategorien: XSS

Vielen Dank!

foulenzer

Ein großes Dankeschön an den nächsten tollen Kontakt mit einem Webseiten-Verantwortlichen und natürlich auch ein herzlichen Dank für den 50€ Amazon-Gutschein! Besonders vor Weihnachten ist dies immer eine gute Idee... ;-)
Kategorien: XSS

Die ersten Monats-Reminder-Mails

foulenzer

Ich habe gerade ein paar Monats-Reminder-Mails (17 an der Zahl) für meine gefundenen XSS-Schwachstellen an "größere" Webseiten-Betreiber* verschickt. Von denen erhoffe ich mir dadurch noch eine Reaktion und bestenfalls eine Schließung der Lücke. Bei den "kleineren" habe ich die Hoffnung mittlerweile aufgegeben...

//*Hab's teilweise ziemlich hoch eskaliert ;-)
Kategorien: XSS

Nachtrag: Weitere Beute

Ich muss hier noch meine bisher größte Bounty nachtragen! Auf der Web-Version einer App konnte ich in einer Personensuchfunktion beim Input-Feld für das Alter eine XSS-Lücke finden. Der Kontakt war überaus freundlich und zielführend. Am Ende standen mir dann sogar 4x25€ Amazon-Gutscheine zu Gute! VIELEN LIEBEN DANK - Ich bin immer noch sprachlos!
Kategorien: XSS

Tagesticket Vitaltherme & Saunabereich

foulenzer

Durfte heute im Briefkasten eine schöne Überraschung vorfinden: Habe einen super lieben Brief mit zwei Tageskarten für eine Vitaltherme mit Saunabereich erhalten. Vielen lieben Dank an den edlen Spender! Ich freue mich schon sehr auf den Besuch! Ich muss mich nur noch mit dem Wort "textilfreier Bereich" anfreunden... ;-)
Kategorien: XSS

Spielwaren als Belohnung

foulenzer

Ich freue mich natürlich immer über jede Zuwendung, die Webseitenbetreiber mir entgegenbringen. In diesem besonderen Fall handelte es sich um einen Rabattcode für Spielfiguren für Kinder. Ich habe mich im Shop umgeschaut, aber nichts Passendes für mich gefunden. Daher werde ich einmal nachfragen, ob ich den Code z.B. an einen Kindergarten o.Ä. weitergeben darf. Meiner Meinung nach eine gute Idee. ;-)
Kategorien: XSS

Meine erste "Bounty"

foulenzer

Ich habe gestern meine erste "BugBounty" erhalten. Ein technischer Ansprechpartner zeigte sich sehr dankbar und hat mir einen 25€ Amazon-Gutschein geschenkt! Das hat mich natürlich unfassbar gefreut! Desweiteren habe ich meine erste "Recommendation" auf OpenBugBounty erhalten, wofür ich mich auch bedanken möchte!

Mittlerweile konnten von 81 Submissions schon 11 gepatched werden, wofür man das kleine "10+ secured vulnerabilities" Honor Badge erhält.

Ich weiß, dass man darüber sicherlich lächeln kann, aber für mich sind dies die ersten Meilensteine auf einem hoffentlich noch längerem Weg.
Kategorien: XSS

Massenmailing am Wochenende

foulenzer

Mein Massenmailing am Wochenende (~30 Mails) zeigt erste Wirkungen. Heute haben sich bereits zwei weitere Betroffene gemeldet. Ich versuche Ihnen natürlich so gut es geht mit Rat und Tat zur Seite zu stehen, damit die Lücken geschlossen werden können.
Kategorien: XSS

Rückmeldungen

foulenzer

Ich bin einfach unfassbar schockiert, wie wenig Antworten oder Kontaktversuche mich von den Betreibern der betroffenen Webseiten erreichen. Es sind teilweise auch "größere" Webseiten dabei (als "hidden" submitted). Man sollte meinen, dass besonders denen die Sicherheit ihrer Besucher am Herzen liegt...
Kategorien: XSS

Seite 2 von 2, insgesamt 18 Einträge