Security

Security is the degree of resistance to, or protection from, harm. It applies to any vulnerable and valuable asset, such as a person, dwelling, community, nation, or organization.

Rbcafe » Security

Amazon Piraté ?

Bonjour,

Ce matin j’ai reçu ce message de la part d’Amazon.

Bonjour *,

Chez Amazon, nous prenons très au sérieux la confidentialité de vos informations personnelles. Or, nous avons trouvé en libre consultation sur Internet une liste d’adresses email et de mots de passe. Nous pensons que votre adresse email et que votre mot de passe Amazon pourraient figurer dans cette liste. Aussi, par précaution, nous avons dû désactiver votre mot de passe Amazon aux fins d’éviter une quelconque intrusion sur votre Compte Amazon sans votre consentement

Pour avoir de nouveau accès à votre compte Amazon :

1. Cliquez sur le bouton intitulé "Votre Compte", en haut à droite de toutes nos pages ou visitez l'adresse http://www.amazon.fr/votre-compte
2. Cliquez sur le lien "Vous avez oublié votre mot de passe ?" sous "Paramètres du compte".
3. Suivez les instructions pour créer un nouveau mot de passe pour votre compte.

Merci de choisir un nouveau mot de passe et de ne pas utiliser le même mot de passe que vous utilisiez précédemment. Nous vous recommandons également d’utiliser un mot de passe que vous n’utilisez pas sur d’autres sites.
Nous vous remercions pour votre compréhension et vous prions de bien vouloir nous excuser pour ce désagrément.
A bientôt sur Amazon.fr.

Cordialement,

Amazon.fr

Veuillez noter que ce message vous a été envoyé d'une adresse ne pouvant recevoir d'e-mails. Pour toute autre question, merci de bien vouloir consulter les pages d'aide de notre site.

Étrange…

Rbcafe » Security

Roundcube fuzzing

Greetings,

I generated for your usage a fuzzing list for the Roundcube 1.2.3 webmail.

Roundcube

Download the Roundcube fuzzing list

Roundcube 1.2.3 Fuzzing list

Roundcube webmail is a browser-based multilingual IMAP client with an application-like user interface. It provides full functionality you expect from an email client, including MIME support, address book, folder manipulation, message searching and spell checking. More information…

Rbcafe » Security

Reports

Security reports by Rbcafe.

Google Brain

Hackerone

#000000 Twitter related bug
#198773 Drone Nextcloud
#201948 Disclosure of information on static.dl.mail.ru
#201489 WordPress 4.7.1
#198673 HTTP-Basic Authentication on logs.nextcloud.com
#198012 Disclosure of administrators via JSON on nextcloud.com WordPress
#000000 Marktplaats related bug
#000000 Quora related bug
#173175 Obtain the username & the uid of the one doing the S3 sync on Hackerone

 

Updated: 15 15UTC abril 15UTC 2017 — 5:13

Rbcafe » Security

Dailymotion piraté

Bonjour Utilisateur,

Nous avons appris que suite à un problème de sécurité externe à Dailymotion, les mots de passe d’un certain nombre de comptes pourraient avoir été compromis. Le hack semble être limité et ne concernerait aucune donnée personnelle.

La sécurité de votre compte est extrêmement importante pour nous et nous prenons toutes les mesures nécessaires afin d’identifier les failles éventuelles et y rémedier. Parallèlement et par précaution, nous conseillons vivement à tous nos partenaires et utilisateurs de réinitialiser dès à présent leurs mots de passe. Lors de la saisie d’un nouveau mot de passe, nous recommandons d’utiliser au minimum huit caractères, d’éviter les mots de passe les plus évidents (ex: mot de passe1234) et de ne pas utiliser le même mot de passe sur plusieurs sites.

Pour réinitialiser votre mot de passe, procédez comme suit:

– Allez sur le site Dailymotion
– Connectez-vous à votre compte
– Utilisez le menu déroulant dans le coin supérieur droit pour accéder à vos paramètres
– Sélectionnez Paramètres du compte
– Entrez un nouveau mot de passe et enregistrez les modifications

Si vous utilisez le service Dailymotion dans vos apps ou services avec l’authentification oAuth2 grant_type=password (https://developer.dailymotion.com/api#oauth-client-native-application) vous devez changer le password dans votre app ou service.

Nous voudrions préciser que le meilleur moyen de s’authentifier est d’utiliser le refresh-token service (https://developer.dailymotion.com/api#using-refresh-tokens). Si vous utilisez cette méthode vous n’avez pas de mot de passe à changer dans vos apps et services.

Cordialement,

La team Dailymotion

Les chiffres :

  • 87 millions de comptes Dailymotion piratés
  • DailyMotion.com – 87,610,750 users (Source leakedsource)

Rbcafe » Security

Honey Pot

 

Honey Pot

 

  • Powered by kryCMS
  • Powered by Ovidentia
  • powered by dataface
  • Powered by JTL-Shop 2
  • Powered by Nukedit
  • Powered by Xplode CMS
  • powered by joomla 3.2
  • powered by joomla 3.3
  • Powered by Coppermine Photo Gallery
  • Powered by SLAED CMS
  • powered by my little forum
  • powered by vBulletin 3.8.4
  • powered by vBulletin 3.8.5
  • POWERED BY HIT JAMMER 1.0
  • Powered By Elite Forum Version
  • Powered by phpDolphin
  • Powered by WeBid
  • Powered by GameSiteScript
  • POWERED BY LOG1 CMS
  • Powered by jDownload

Updated: 12 12UTC noviembre 12UTC 2016 — 6:37

Rbcafe » Security

Tor 5.0.4

Tor

What’s new inside Tor Version 5.0.4:

  • Update Firefox to 38.4.0esr
  • Update NoScript to 2.6.9.39
  • Update Torbutton to 1.9.3.5
  • Spoof Referer when leaving a .onion domain
  • about:tor should accommodate different fonts/font sizes
  • Don’t translate the homepage/spellchecker dictionary string
  • Don’t show text-select cursor on circuit display
  • Remove unused code
  • Translation updates
  • Remove the en-US dictionary from non en-US Tor Browser bundles
  • Remove dead ScrambleSuit bridge
  • Update meek-amazon fingerprint
  • Isolate favicon requests caused by the tab list dropdown
  • Don’t crash while opening a second Tor Browser

Rbcafe » Security

Bitrix Admin

Bitrix Admin

 

Bitrix Site Manager is the core on which you can build any complex web projects. With Bitrix Site Manager, you do not need any special programming or web design knowledge and skills. Bitrix Site Manager installs to the root directory of a remote server. An administrator can manage sites via the web interface. To function properly, the server configuration should meet the following minimum requirements:

  • Apache web server version 1.3 or higher;
  • PHP version 5.0.0 or higher;
  • MySQL version 4.1.11 or higher / Oracle 10g or MSSQL 2000 or higher;
  • 10 Mb of free disk space (for the Update System).

 

 

Rbcafe » Security

iOS Mail app

iOS’s Mail app

 

Demonstration of proof-of-concept attack on iOS’s Mail app. Apple was notified about technical details of this vulnerability on 2015-01-15

 

The source of this iOS’s Mail app exploit was posted here : https://github.com/jansoucek/iOS-Mail.app-inject-kit

 

iOS 8.3 Mail.app inject kit

Back in January 2015 I stumbled upon a bug in iOS’s mail client, resulting in HTML tag in e-mail messages not being ignored. This bug allows remote HTML content to be loaded, replacing the content of the original e-mail message. JavaScript is disabled in this UIWebView, but it is still possible to build a functional password “collector” using simple HTML and CSS.

It was filed under Radar #19479280 back in January, but the fix was not delivered in any of the iOS updates following 8.1.2. Therefore I decided to publish the proof of concept code here.

Update 2015-06-30:

The exploit got a nice CVE-2015-3710 sticker and was fixed by Apple in iOS 8.4 and OS X 10.10.4. Kudos to Apple for prompt response once it was published publicly.

Usage

  • Edit the e-mail address you would like to use for password collection in framework.php
  • Upload index.php, framework.php and mydata.txt to your server
  • Send an e-mail containing HTML code from e-mail.html to the research subject
  • Don’t forget to change the modal-username GET parameter value to the e-mail address of the recipient
  • You can use https://putsmail.com for testing purposes

Credits

Framework7: Vladimir Kharlampidi (http://www.idangero.us/framework7/) – Framework7’s CSS code was used for the login dialog styling

License

MIT

Notes

The code detects that the research subject has already visited the page in the past (using cookies) and it stops displaying the password prompt to reduce suspicion.

The e-mail address and password are submitted via GET to framework.php, which then saves them to the mydata.txt file, sends them out via e-mail to the specified “collector” e-mail address and then returns the research subject back to Mail.app using redirect to message://dummy.

The password field has autofocus enabled. We then use focus detection to hide the login dialog once the password field loses its focus (e.g. after the subject clicks on OK and submits the password). Why even bother with this redirect nonsense when you can put <form> directly inside the HTML e-mail?

 

Página 1 de 212
Rbcafe © 2004- | Rb Cafe 1.3 | Contacto Rbcafe | Rbcafe en Twitter | Rbcafe en Facebook | Política de privacidad