About Me

My name is Anakorn Kyavatanakij and this is my personal blog.
I speak three languages: Thai, English and Mandarin.
I love anything related to computers, gaming and manga.
I’m currently an undergraduate student studying computer science at Peking University.

I’m also interested in the field of computer security. Below are some of the security issues I have reported.
Microsoft Online Services – http://technet.microsoft.com/en-us/security/cc308575#0113
Wordpress (3.6) – http://cn.wordpress.org/2013/09/12/wordpress-3-6-1/ http://wordpress.org/news/2013/09/wordpress-3-6-1/
Invision Power Board – http://www.anakornk.com/ip-board-3-4-2-persistent-stored-cross-site-scripting-vulnerability/
Freelancer.com – http://www.freelancer.com/info/security-hall-of-fame.php

Attacking DTAC’s MMS System Via Cross Site Scripting

DTAC is the second largest GSM mobile phone provider in Thailand. It’s pretty sad that the company itself doesn’t really care much about its security.  There are multiple cross-site scripting vulnerabilities and poor authentications.  There’s one vulnerability I would like to talk about and that is the stored xss vulnerability located in the MMS system. […]

Posted in Security | Leave a comment

Facebook Photo.php Set Parameter Bug

mentioned about it earlier here Facebook Photo.php User-Spoofing Vulnerablity [TH] here is a recorded video of it

Posted in Security | Comments Off on Facebook Photo.php Set Parameter Bug

Facebook Embedding Flaw: Allowing users to embed swfs [TH]

Embedding Flash on Facebook หลายๆคนน่าจะเคยลองโพสลิ้งyoutube,vimeoหรืออะไรต่างๆ จะพบว่าfacebookจะดึงข้อมูลจากหน้ายูทุปนั้น แล้วสร้างลิ้ง พร้อมรูปภาพและปุ่มPlayพอกดPlayคลิปก็จะรันผ่านvideo playerของยูทูป facebookอนุญาตให้เราสามารถใช้og metadataมาระบุself-hosted objectsต่างๆ ซึ่งยูทูปก็น่าจะใช้เทคนิคนี้หรืออะไรประมารนี้ในการembed playerของยูทูปในfacebook (ไม่รู้ว่าเฟสบุคเขียนให้ยูทุปหรือยังไง) เอาเป็นว่าเราสามารถใช้หลักการเดียวกันในการembed flashอะไรก็ได้ในเฟสบุค เช่นgame .swf etc มันจะดูเหมือนว่าเราโพสลิ้งวิดีโอ จะมีปุ่มplayให้เหมือนยูทูป แต่พอกดplayแถนที่จะไปรันวิดีโอจะทำการรันไฟล์flashของเราแถน (typeอื่นๆยังไม่ได้ลอง) การใช้OG Metadata facebookบังคุบว่าต้องมี requirement 5อย่างนี้ og:type, og:url og:title, og:image,fb:app_id อ่านเพิ่มเติมได้ที่ https://developers.facebook.com/docs/opengraph/ หลักการก็ไม่มีอะไรมาก สร้างเว็ปเพจลิ้งและทำการลิ้งโดเมนกับapp สิ่งที่เราต้องทำก็คือหลอกว่าไฟล์เราเป็นvideoนั้นเอง ปกติพอจะให้facebook ดึงvideo playerเรามาdisplayก็แค่ระบุประมารนี้ <meta property=”og:video” content=”http://localhost/?url=blah.mp4″> อย่างที่บอกไปก่อนหน้านี้facebookอนุญาต ให้เราembed custom video playerเพื่อที่จะมารันvideo เลยallowให้เราใช้file typeให้เป็นflashได้ ซึ่งไม่กันอะไรเลย แถนที่จะใส่video playerเราก็ใส่ไฟล์flashของเราเข้าไปตามนี้ <meta […]

Posted in Security | Tagged , | Leave a comment

Freelancer.com Stored XSS

On the 8th of August 2013, I reported a persistent cross site scripting vulnerability on freelancer.com The bug is located in the picture upload function of the site. Attackers can basically create an image file with the attacking vectors. For eg, renaming a normal png file to <img src=”” onerror=”javascript:alert(1)”>.png and just uploading it to […]

Posted in Security | Leave a comment


If you have some free time, go check out my youtube channel and github 🙂
My youtube channel:
My github:

If you have something to share or would like to talk, feel free to contact me at

Leave a Reply