- Apocalipsa dupa Nemessis
- Cand dorinta de afirmare depaseste granitele bunului simt – PaxNwo un leecher ordinar
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac?
- Experiment social II – andimoisescu.ro
- Pentru posteritate
- In curand…
- “Hot” de id-uri messenger
- Chiar ca sunteti retardati
- Ce nu se invata la scoala – Vendetta (6)
- Apocalipsa dupa Nemessis in (81 Visits)
- Ce servicii de mail folositi? in (27 Visits)
- This is the end in (23 Visits)
- Hackersblog.org is now blog.rstcenter.com in (17 Visits)
- Short news in (16 Visits)
- La multi ani România, la multi ani românilor in (15 Visits)
- Inca o pierdere de timp in (10 Visits)
- Azi este ziua userilor hackersblog.org in (10 Visits)
- Raportare vulnerabilitati in (8 Visits)
- Update in (7 Visits)
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac? in (229 Visits)
- Hi5.com coders read this in (28 Visits)
- SMS scam (1) in (21 Visits)
- Phishing Bancpost in (8 Visits)
- Dezinformare sau proasta informare? in (7 Visits)
- Si tentativele de phishing pot fi amuzante in (5 Visits)
- Phishing Raiffeisen cu atasament html in (4 Visits)
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta in (76 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (41 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (30 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (29 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (24 Visits)
- Virusi in clipuri video [how to] in (23 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (21 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (17 Visits)
- Yahoo! redirects - a big issue (with video) in (10 Visits)
- Ca musca in... in (9 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (123 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (72 Visits)
- Yahoo! epic fail - permanent xss unleashed in (69 Visits)
- Telegraph.co.uk hacked, sql injection in (52 Visits)
- RedTube.com ... The Free Sex Video Community in (42 Visits)
- Kaspersky Thailand hacked by TinKode in (37 Visits)
- Conquiztador Hacked Again in (32 Visits)
- Telegraph.co.uk hacked - when will they learn? in (29 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (27 Visits)
- Ziua userilor - sinu.utcluj.ro in (26 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (24 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (20 Visits)
- Digital Photocopiers Loaded With Secrets in (15 Visits)
- Hacker Uses XSS and Google Street View Data to Determine Physical Location in (12 Visits)
- OWASP Phishing demo in (7 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (7 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (6 Visits)
- Christopher "moot" Poole: The case for anonymity online in (6 Visits)
- Owasp5005 Part1 - New zero-day browser exploits - ClickJacking in (5 Visits)
- [Video] The History Of Hacking in (5 Visits)
- Se poate sparge parola de Yahoo? in (256 Visits)
- phpBB.ro hacked in (81 Visits)
- Cand dorinta de afirmare depaseste granitele bunului simt - PaxNwo un leecher ordinar in (47 Visits)
- Experiment social in (46 Visits)
- "Hot" de id-uri messenger in (39 Visits)
- Oare cum e pana la urma? in (39 Visits)
- Experiment social II - andimoisescu.ro in (37 Visits)
- Ce nu se invata la scoala – Vendetta (6) in (37 Visits)
- Concurs fara premii in (36 Visits)
- Forumul Andreei Balan spart in (32 Visits)
Posted on February 15th, 2009
This is just a message for the bitdefender team. Full story about a new sql injection in bitdefender.com will be posted soon.
Este frustrant si foarte enervant in aceasi timp ca o firma de talia bitdefender.com nu are o adresa email de contact pe site. In sectiunea contact us se pot trimite cateva randuri catre webmaster , de exemplu. Am si trimis. Raspuns n-am primit. Si vulnerabilitatea semnalata persista. Asa , stiind ca ne citesc, ii voi anunta pe aceasta cale, au un parametru vulnerabil, care de data asta nu este pe vreun site partener, ci insasi pe site-ul companiei. Un parametru care permite acces la baza de date. Nu voi publica prea multe, astept rezolvarea problemei. Parametrul vulnerabil este in sectiunea news, care se comporta cam ciudat la banalul test sqli.
AND+1=1 true
AND+1=2 false
SELECT -ul nu este interzis
Si cateva date despre server:
back-end DBMS: PostgreSQL
web server operating system: Linux Red Hat Enterprise 4 (Nahant)
web application technology: PHP 4.3.9, Apache 2.0.52
English version
It is frustrating and very annonying for a company the size and fame of BitDefender to have no contact email address on their website.
On their contact link, you can send a few words to the webmaster, which I did and to which I didnt get any reply. And the vulnearbility persists.
Therefore, knowing they read our articles, I will let them know here that they have a vulnerable parameter. And this time its not on one of their partner websites but on their own website.
This parameter gives access to the DB. I will not publish too much now as I am waiting for the problem to be solved.
The paramter is in their news section and it has a strange behaviour if you test it with the all too common by now, SQL Injection
February 15th, 2009 at 9:46 am
tot vroiam sa va intreb daca puteti raspunde… cum se cheama addonul cu Extract links? Il gasisem odata cand rasfoiam addons.mozilla.org dar acum nu il mai gasesc. am intrebat ca vad ca aveti jos in mozilla, extract links
February 15th, 2009 at 9:57 am
Link Gopher
https://addons.mozilla.org/en-US/firefox/addon/7312
February 15th, 2009 at 7:12 pm
unu tati mai bine pune fifty fifty cu engleza ca asa… nush daca prinde idea cineva de acolo
si sincer nu cred ca esti curios sa vezi cum traduce gugle din ro in end 
)) mori de ras
February 16th, 2009 at 10:03 am
FYI, daca tot va mandriti cu “noi facem cum fac altii in vest”, email-ul de contact standard pentru astfel de probleme este security@company.com (security@bitdefender.com in cazul de fata).
Disclaimer: sunt un fost angajat al companiei.
February 16th, 2009 at 12:19 pm
cd-man, arata-mi te rog unde scrie adresa respectiva de email, eu promit sa mananc pagina intreaga, daca ai dreptate. Dar nu scrie. Nu scrie pentru ca bitdefender este prea “mare” sa se gandeasca ca vreodata ar putea avea probleme de securitate. Iar eu nu-mi permit sa trimit mailuri de atentionare la adrese ghicite,ori luate dupa auzite, sau “standardizate” cum le numesti tu
February 16th, 2009 at 2:18 pm
@ unu
$ whois bitdefender.com | grep \@
Email: aanescu@bitdefender.com
Email: domains-admin@bitdefender.com
Email: domains-admin@bitdefender.com
February 16th, 2009 at 2:27 pm
ca sa-ti dau un exemplu, cauta e-mail de contact la .edu .mil sau .gov
eu am trimis odata la toata lista din alumini ca sa pot primi un raspuns dupa vreo luna asa ca te rog eu, lasa “generalizarile” ca nu ajungem nicaieri asa cu ghicitul in trandafiri 
))
February 16th, 2009 at 4:11 pm
@unu: asta e ideea – nu trebuie sa scrie explicit (desi sunt de acord, ar fi mai bine sa scrie), ci este o conventie (ca si abuse@example.com sau webmaster@example.com).
February 16th, 2009 at 5:37 pm
sa-ti spun sincer, nu am primit niciodata raspuns cand am trimis la abuse@ sau webmaster@ doar un autoresponder sau autoticket etc, atat, niciodata de la o persoana, asa ca de fiecare data a trebuit sa ma uit la staff, luam un nume dupa aia cu ajutorul lu’ nenea gugle gaseam si e-mail de contact, si pe baza asta am mers multi ani, pentru ca alea 2a abuse sau webmaster chiar daca erau afisate arau egale cu 0 asa ca nici nu le-am mai bagat in seama
February 16th, 2009 at 6:21 pm
Ceva ma face sa cred ca daca ai fi scris la adresa trecuta ca si contact pentru domeniul bitdefender.com (da, that’s the way to do it), cineva ar fi raspuns foarte prompt
E usor sa zici “am crezut ca nu-i nimeni acasa” dar in multe situatii este gresit.
Ce-am invatat din asta copii ?
February 16th, 2009 at 7:37 pm
ceva ma face sa cred ca vorbim mult si degeaba. Daca ar fi fost trecut macar o adresa de contact as fi putut scrie un email normal nu completam in prostie casute de genul ce sa gasesc la sectiunea contact
http://www.bitdefender.com/site/contact/ , la care sa nu raspunda nimeni
February 16th, 2009 at 9:48 pm
[...] to an item posted to HackersBlog, BitDefender’s main website can be tricked into disclosing database [...]
February 16th, 2009 at 9:50 pm
[...] the company has inadvertently exposed a database that is supposed to remain private. According to an item posted to HackersBlog, BitDefender’s main website can be tricked into disclosing database contents [...]
February 17th, 2009 at 1:06 pm
[...] salah satu topik yang diposting di HackersBlog, Website utama BitDefender dapat dikelabuhi sehingga masuk ke database oleh perintah di URL [...]
February 17th, 2009 at 1:17 pm
Este total lipsit de profesionalism ce faceti,copii.Esta ca si cum ati intra la cineva in casa ca sa-i verificati yala, fara sa-i cereti permisiunea.In State testele se fac la solicitare.Voi o faceti de capul vostru,ca sa va dati apoi mari.
Nu va spus nimeni cate legi ati incalcat pana acum?
February 17th, 2009 at 1:40 pm
Sunt curios cat conteaza profesionalismul nostru pentru oamenii care au datele lor private puse la dispozitia oricui. Testele alea facute la solicitare vad ca nu prea au efect. Cat despre faptul ca ne dam mari… ce sa mai zic. Fiecare crede ce vrea.
Lectura: http://hackersblog.org/2009/02/03/inca-o-pierdere-de-timp/
February 17th, 2009 at 1:47 pm
BitDefender could learn a thing or two from competitor Kaspersky Lab. After an American support site was found to have exposed customer data for 11 days, the company hired an outside auditor to conduct a forensic analysis. He determined that while the information was accessible, hackers never actually succeeded in stealing the data.
HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA HAHAHHAHAHAHAHHAHAHAHA
February 17th, 2009 at 2:02 pm
Unule ai un mail, ceva?
February 17th, 2009 at 2:13 pm
http://hackersblog.org/contact-us/
February 17th, 2009 at 2:16 pm
http://www.theregister.co.uk/2009/02/16/bitdefender_website_breach/
February 17th, 2009 at 5:21 pm
http://www.antena3.ro/stiri/hightech/hacker-ul-roman-care-a-spart-kaspersky-a-reusit-sa-intre-acum-in-site-ul-bitdefender_64989.html
))))
February 17th, 2009 at 5:31 pm
@ciprig: vai
February 18th, 2009 at 12:29 am
De ce nu explicati si voi niciodata ce puteti face cu aceste date, ce fel de baza de date afecteaza si ce fel de informatii se pot prelua de acolo? Eu vad in screenshot-urile alea numai imagini din search cu definitii de virusi, deci este ceva serios sau nu?
February 18th, 2009 at 2:58 pm
adica sa le dea idei celor care citesc aceste articole? dat fiind faptul ca odata ce arati unde e gaura e deajuns ca orice script kiddie sa foloseasca un tool automat ca sa poata lua access dat fiind faptul ca nu e ceva securizat e bine sa lasi anumite informatii nespecificate, altfel dintr-un simplu report se poate ajunge in situatii aiurea cand tocmai cei ce a vrut sa faca un bine, sa cada la un loc cu cei ce vor sa faca rau.
un exemplu foarte clar ar fi extragerea de informatii private precum carti de credit si pe urma sa le foloseasca in scop personal, si la urma urmei vor fi trasi la raspundere toti cei care au accessat acel server, nu mai conteaza pe ce motiv ai facut-o.
e clar ca pe unele servare poti gasit informatii de tot felul de la simple informatii de contact pana la alte chestii mult mai serioase si mai ales strict confidentiale.
Daca citesti un articol fara sa ai habar despre ce e in acel articol, atunci e sa te informezi mai intai, informatia exista peste tot, nu trebuie decat sa cauti.
asa ca hf & rtfm
February 18th, 2009 at 5:42 pm
Nu este vorba de sectiunea de news ci de search in primul rand, in al doilea rand date despre server se pot afla foarte usor. De exemplu http://www.mcafee.com foloseste Microsoft Server, IIS 5.0 and ASP.Net, acum sunt si eu un mare hacker? La testul pe care l-au facut probabil ca au folosit SQL Map, iar la kaspersky probabil Acunetix.
Nu,nu sunt mare expert in securitatea site-urilor.
February 18th, 2009 at 5:52 pm
@Claudel respect pentru skill-urile avansate de web security, acum ca esti iesit in lumea invata niste romana.
Am inteles ca ceea ce incercati sa faceti este sa avertizati atat oamenii care au scris/folosesc scripturi web cat si userii de zi cu zi.
Vad ca la fiecare treaba de genul asta nimeni nu va raspunde la mailuri (ma indoiesc), dar cu toate astea publicati problema si ea poate fi destul de usor identificata pentru cei familiarizati. Cu aceste actiuni sunteti white-hat? Vad ca deveniti din ce in ce mai populari, pe cand vine si un adsense?
Daca vreti sa invatati pe cineva cate ceva despre securitate faceti asta, nu va luati de useri cu chestii de genul RTFM, n00b and other 1337 speech. Stiu, aratati cool dar semanati a script-kiddies si nu vreti asta, nu?; vreti sa fiti white-hat hackers.
Noi si noi succese!
February 18th, 2009 at 6:05 pm
da…la blind sqli folosesc sqlmap sa extraga. Nu este niciun secret asta. Sqlmap-ul este un tool free, cel mai bun dupa parerea mea. Cine ar sta luni de zile sa faca sute de mii de interogari,sintaxe cand exista tool pentru asta. Poate un “expert” ca tine. Nu trebuie reinventat America, a facut-o Columb candva. Cat despre gasirea parametrilor vulnerabili, daca e asa usor, oare de ce n-o fac cei care sunt platiti f bine pt asta, cei care sunt raspunzatori de securitatea site-urilor respective? Rudi ..citeste cu atentie sectiunea About & disclaimer , aici nimeni nu e hacker, nu asta este scopul nostru. Cat despre acunetix –avand in vedere unde lucrezi– ai putea fi un pic mai bine informat (sau intentionat) si sa nu faci afirmatii gratuite. Inclusiv kaspersky a recunoscut in raportul sau oficial: cautarea parametrilor vulnerabili s-a facut din google, iar interogarile manual, fara scanner.
February 18th, 2009 at 6:13 pm
Bine, acum poti folosi adresa mea de mail pentru contact, sti unde lucrez
. Nu lucrez la departamentele la care te-ai gandit, de aceea am spus ca nu sunt mare expert.
February 18th, 2009 at 6:37 pm
@tolique vezi ca multi webmasteri nu raspund la emailuri. GRESIT cei mai multi raspund si remediaza dar nu vad de ce am preciza noi asta in postul de pe blog. Precizare se face doar atunci cand nu raspund de aceea tu ii vezi doar pe cei care nu raspund. Spui ca folosim expresii gen RTFM n00b and stuff … din nou gresesti am facut o singura data o gluma cu RTFM. Daca nu ai chef sa citesti tot continutul nu iti da cu parerea despre o carte. Ceea ce facem noi este si va ramane non-profit … daca vrei sa fiu si meschin , eventual da’ne niste bannere de la tine si le punem la noi ca sa faci tu bani din treaba asta, noi nu vrem.
February 18th, 2009 at 9:43 pm
cauta un howto de unix si zi-mi daca nu gasesti in cel putin unu din ele, la sfarsit RTFM, daca nu intelegi ce inseamna cuvantul ala si-l iei motamo atunci ramai la parerile tale.sal
e ceva normal sa-ti zica oricine rtfm cand vii si pui intrebari de 3 lei sau doar ca sa-ti bati joc
February 18th, 2009 at 9:51 pm
Da iti multumesc pentru lectia de etica in raspunsuri pe forumuri, bloguri si liste de discutii. Ce iti explicam eu este ca nu e modul de a vorbi al unui expert in securitate sau mai simplu nu e OK sa fii “cocky” cu userii care pun o intrebare.
Mai ales intr-un loc in care exista pretentia de oameni adulti “cu cap” care incearca sa ajute webdeveloperii in securizarea corespunzatoare a progeniturilor lor.
February 18th, 2009 at 10:00 pm
@tolique – noi nu avem pretentia de a fi tratati ca experti in securitate. Anuntam, publicam, iar oamenii trag concluzii si baga sau nu la cap. Atata tot.
Cat despre un singur RTFM prezent pe tot blogul, intr-un singur comentariu, sa fim seriosi. Ne pare rau ca mai facem o gluma din an in paste care se pare ca deranjeaza 0.1% din vizitatori.
February 18th, 2009 at 10:07 pm
Duda de mai sus a.k.a. PartzPartzescu intreaba: “[...]ce fel de baza de date afecteaza si ce fel de informatii se pot prelua de acolo?[...]” i s-a raspuns in doi peri (specific) ca nu se citesc complet informatiile si ca sa se informeze lumea ca e Internetul plin.
Acum s-a inteles care era nemultumirea? Si vad si mai sus ca existau solutii de contact doar ca nu foarte la vedere. Asta nu inseamna nici rea-vointa, dar nu pare a fi nici ceva OK sa se publice “stuff” inainte sa fie reparat.
February 19th, 2009 at 9:03 am
ma scuzi domnu’ tolique, ai dreptate
2fingers sau unu, pune-le ma cu bold in paranteza dupa fiecare db si ce informatii exista in acel db, credit cards, bank accounts, e-mails, phone numbers, home address, etc
pune-le mura-n gura ca sa le dai motive si idei la baietii “buni”.
daca sql injection ar fi aparut ieri, poate ca nu-ti mai ziceam rtfm, si daca chiar nu-ti poti da macar cu parerea cam ce informatii ar putea exista pe un server x, care e si afisat, atunci e grav
February 21st, 2009 at 5:17 pm
[...] unui post de pe HackersBlog, principalul site BitDefender poate fi păcălit să dezvăluie conţinutul unor [...]
February 26th, 2009 at 11:24 am
[...] major antivirus companies. After the recent SQL injections in Kaspersky, BitDefender (here and here) and F-Secure the regular user might wonder in which company should they still [...]