April, 2007

I just LOVE Drupal. There is no word to describe my feelings for this fantastic CMS. I just changed thie site from Wordpress to Drupal, and WHOHA!

I know drupal is kinda overkill for a blog, but I don't care. Drupal is the shit!

No offence, eller.. jo.. faktisk.. offence!

De siste dagene har jeg fått x antall mail som sier det at dersom jeg ikke videresender denne meldingen til 18 personer så blir jeg nødt til å betale for å bruke MSN messenger. Hvor sannsynlig er dette? Er det virkelig ikke NOEN som tenker, i det hele tatt?

• Tror du at Microsoft teller hvor mange ganger du sender en e-post/melding med akkurat det innholdet?
  

Here is a simple proof of concept cookie stealer.
To use it you have to exploit a XSS vulerability and insert (for example) the following code.

Ok, fine. I'm so tired of all the spam in my blog I enabled user registration. So if you want to comment any of my posts you have to register first. Sorry!

Bare et par dager etter at jeg offentligjorde sårbarhetsrapporten om feilen i Nordea sin nettbank mottok jeg følgende e-post.

Hei,

Viser til dine e-post henvendelser til Nordea vedrørende din oppdagelse av et sikkerhetshull i innloggingsløsningen i nettbanken.

Takk for at du har gjort oss oppmerksom på overnevnte.
Vi har som følge av dette implementert en løsning som skal ha rettet opp sikkerhetshullet.

På grunn av manglende filtrering av POST/GET parameteren 'account' er Nordea ASA sin autentiseringsløsning for innlogging til nettbetaling sårbar for XSS angrep. Angriper kan injisere ondsinnet kode inn i innloggingsbildet noe som for eksempel kan føre til sofistikerte typer av phishing.

Les hele rapporten her.