marx.wtf

  • Tor, Dezember 2017

    Tor Dezember 2017

  • Tor, November 2017

    Tor November 2017

  • Tor, Oktober 2017

    Tor Oktober 2017

  • Tor, September 2017

    Tor September 2017

  • Tor, August 2017

    Tor August 2017

  • Wochenzeitung

    http://<URL>/thema/XSS</title><script>alert(1)</script>

    Eine XSS auf der Webseite einer größeren Wochenzeitung wurde wochenlang nicht geschlossen. Die Zeitung selbst hat nicht auf E-Mails reagiert. Auch der direkte Kontakt zu einem Dienstleister der Zeitung führte nicht dazu, dass die Lücke geschlossen wurde.

    Nachdem ich die Zeitung über Twitter auf die XSS aufmerksam machte, wurde die Lücke geschlossen.

  • Banken

    Das Formular für den Rückruf-Service einer Finanzgruppe war anfällig für XSS via POST-Anfragen. Ein Registrierungsformular für ein Single-Sign-On war für XSS via GET anfällig.

    Beide Lücken wurden nach kurzer Zeit geschlossen.

  • Veranstaltungsunternehmen

    Nach über einem Monat und einer zweiten E-Mail wurde eine SQL-Injection im Ticketshop eines größeren Veranstaltungsunternehmens geschlossen.

    Disclosure Timeline

    • 16.07.2013 Kontaktaufnahme per E-Mail
    • 24.08.2013 erneute Kontaktaufnahme per E-Mail

  • Verlag

    Im Webshop eines Wissenschaftsverlages wurde eine XSS gefunden. Die Lücke wurde nach kurzer Zeit geschlossen.

  • Verlag

    Auf der Webseite eines Fachverlages wurde eine SQL-Injection gefunden. Die Lücke wurde nach kurzer Zeit geschlossen.

    Disclosure Timeline

    • 19.06.2012
      • Kontaktaufnahme per E-Mail
      • Lücke geschlossen