Hacker Safe websites zo lek als een mandje
Websites met het Hacker Safe certificaat zijn zo lek als een mandje, zo blijkt uit onderzoek, en ook de eigen website is niet vrij van beveiligingslekken. Het logo moet aantonen dat de website veilig zou zijn, maar dat is volgens twee onderzoekers van Xssed.com niet het geval. Zij ontdekten dat sinds februari 2007 tenminste 62 Hacker Safe websites met cross-site scripting lekken te maken hadden en in een aantal gevallen nog steeds kwetsbaar zijn. ScanAlert, het bedrijf achter Hacker Safe, werd eind vorig jaar door McAfee overgenomen, maar ook op die website troffen de onderzoekers cross-site scripting aan. Via deze lekken is het mogelijk om vertrouwelijke gegevens, zoals wachtwoorden en creditcard- nummers, te stelen van mensen die dit soort websites bezoeken.
Volgens ScanAlert kan cross-site scripting niet worden gebruikt voor het hacken van een server, en wordt er hier ook niet op gecontroleerd door het bedrijf. "Je kunt er dingen mee doen die de eindgebruiker treffen, maar de klantgegevens in database zijn niet via een cross-site scripting aanval te compromitteren, althans niet direct."
De onderzoekers die de problemen met het logo ontdekten zijn het hier niet mee eens, en zien het als een tekortkoming in de dienst die het bedrijf levert. ScanAlert zegt op haar eigen website dat het namelijk wel op cross-site scripting lekken controleert. Het Hacker Safe logo is dan ook een "onnauwkeurige marketingkreet."
Eind december werd geek.com gehackt en wisten aanvallers creditcard- gegevens zoals verloopdatum en verificatienummer, adresgegevens, telefoonnummer, naam en e-mailadres van klanten te stelen. De website zou echter op het moment van de aanval niet het logo hebben gedragen, hoewel dit nog steeds onduidelijk is. "Deze dienst is op zijn best zwak te noemen, en geeft nietsvermoedende eindgebruikers die deze sites bezoeken een vals gevoel van veiligheid", zegt IT consultant Rafal Los.
het is nogal pretentieus om een dergelijke garantie te geven.
Immers kan niemand pretenderen dat een website 100% hacker safe is,
laat staan dat een website bijvoorbeeld niet getroffen zal worden door
exploits gebaseerd op vulnerabilities die op dit moment nog niet eens
ontdekt zijn.
100% safe is. Aangezien dat er "Bijna" iedere dag wel een
nieuwe lek/exploit gevonden word. Immers kan niks 100% zijn op dag basis XD>
daarnaast betalen mensen veel geld voor een hacker safe logo
dus mag je wel verwachten dat de site xss safe is!
Volgens ScanAlert kan cross-site scripting niet worden
gebruikt voor het hacken van een server, en wordt er hier
ook niet op gecontroleerd door het bedrijf. "Je kunt er
dingen mee doen die de eindgebruiker treffen, maar de
klantgegevens in database zijn niet via een cross-site
scripting aanval te compromitteren, althans niet
direct."
Waar controleren ze dan wel op? Het antwoord is wel erg kort
door de bocht, als je dit aan een leek verteld, zou die dan
het logo nemen?? Ik denk van niet!
aanval is tot op heden succesvol geweest....
Zal wel aan de server-configuratie liggen....P
Er is nog wel wat hosting ruimte vrij op de server...
kan) en daaruit concluderen ze of je website safe is of niet.
Heel veel mensen weten dit niet en joe sixpack vertrouwt
natuurlijk zo'n logo.
Het is gewoon een grote scam die hackersafe zooi.
Ja idd. Het is zo i zo wel stom om te zeggen dat een site
100% safe is. Aangezien dat er "Bijna"
iedere dag
wel een
nieuwe lek/exploit gevonden word. Immers kan niks 100% zijn
op dag basis XD>
op de scripting bedoel ik hierbij en geen mod_rewrite tricks.
Ik wil beweren dat een script wel 100 % veilig kan worden.
Ik praat hier niet over de server instellingen want die kan
ik extern niet veranderen wel op me home server.
Belangrijk: Als je wat te zeiken hebt hierover wat toch
nergens over gaat doe het dan niet!
een verder mogelijk lekke server. jij bent hier de gene die
aan het zeiken is. wat schiet je er mee dat je kan zeggen
dat een deel 100% veilig te is als je uiteindelijk toch niet
volledig veilig bent. het gaat om of een site 100% veilig
zou kunnen zijn, en dat valt niet 100% te garanderen.
hacken echter zonder succes.
De gebruikte scriptjes:
http://ineal.biz/id.txt
http://www.sajin88.com/bbs/paddy/djd.txt
Ps:
/?mosConfig_absolute_path= gaat niet werken..!!
Fred
niet over de server instellingen want die kan ik extern niet veranderen
wel op me home server. Belangrijk: Als je wat te zeiken hebt hierover wat
toch nergens over gaat doe het dan niet!"
Het gaat hier toch helemaal niet over de beveiliging van een los script ?
Als je wat op te merken hebt, zorg dan dat het ook iets met het topic te
maken heeft.... ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.