Security Professionals
- ipfw add deny all from eindgebruikers to any
Exploit school site
25-09-2009, 12:51 door Anoniem, 18 reacties
Beste lezer,
Een vriend en ik kwamen een exploit tegen op onze interne school website waardoor xss mogelijk is en dus via een externe js in te laden het inlog scherm na te bootsen en dus gegevens van andere school gebruikers door te sturen naar een kwaadwillig persoon.
Nu vroegen wij ons af is het verstandig om dit aan te kaarten ? want door alle dingen zoals je wel vaker leest dat leerlingen worden aangeklaagd terwijl ze juist iets aankaarten wat grote gevolgen kan hebben.
Wat zeggen de pro's hier over en wat zouden jullie in ons geval doen?
Groeten,
2x Anoniem
Een vriend en ik kwamen een exploit tegen op onze interne school website waardoor xss mogelijk is en dus via een externe js in te laden het inlog scherm na te bootsen en dus gegevens van andere school gebruikers door te sturen naar een kwaadwillig persoon.
Nu vroegen wij ons af is het verstandig om dit aan te kaarten ? want door alle dingen zoals je wel vaker leest dat leerlingen worden aangeklaagd terwijl ze juist iets aankaarten wat grote gevolgen kan hebben.
Wat zeggen de pro's hier over en wat zouden jullie in ons geval doen?
Groeten,
2x Anoniem
Reacties (18)
25-09-2009, 13:05 door
SirDice
Als je vreest voor gevolgen zou je het natuurlijk anoniem kunnen melden.
25-09-2009, 13:10 door
MAO2008
Zeker aankaarten want eerlijkheid duurt het langst. Indien er iets op het schoolnetwerk gebeurt en men vindt in logfiles dat jullie "in de buurt" zijn geweest heb je meer ellende dan het nu bij b.v. de mentor (wat toch een vertrouwens persoon moet zijn) aan te kaarten.
Ik kan uit ervaring spreken, heb zelf een zoon die alle uithoeken van m.n. beveiliging en hacken moet uitproberen met alle gevolgen van dien :-)
Succes
Ik kan uit ervaring spreken, heb zelf een zoon die alle uithoeken van m.n. beveiliging en hacken moet uitproberen met alle gevolgen van dien :-)
Succes
Ik bedank alle mensen voor de reactie's en ga met mijn vriend overleggen om het anoniem te melden of te melden bij onze mentor.
Bedankt!
Bedankt!
Ik weet niet of je dit leest maar schrijf een anonieme brief en leg dit neer ongemerkt bij de beheerder van de site of bij je mentor
25-09-2009, 17:06 door
Preddie
als je het aangeeft ben je wettelijk strafbaar. En doe je een indirect bekenning van schuld.
Ik heb hier eerder mee te maken gehad, toen ben ik zelf bijna de dupe geworden van mijn eerlijkheid. Vanaf dat moment geef ik dit soort dingen niet meer aan tenzij ik zeker ben van mijn anonimiteit.
Ik heb hier eerder mee te maken gehad, toen ben ik zelf bijna de dupe geworden van mijn eerlijkheid. Vanaf dat moment geef ik dit soort dingen niet meer aan tenzij ik zeker ben van mijn anonimiteit.
25-09-2009, 19:20 door
Thasaidon
Ik zou proberen het anoniem aan te geven.
Schrijf een brief met jullie bevindingen, wat je evt adviseert en schuif dat bij je decaan of mentor onder de deur.
Schrijf een brief met jullie bevindingen, wat je evt adviseert en schuif dat bij je decaan of mentor onder de deur.
26-09-2009, 15:39 door
H.King
indd, ik denk dat hun niet eens het kwaad inzien van XSS. Daarbij toon je met XSS alleen de fout in het script aan je misbruikt het niet. Anders zou een slotenmaker die je erop wijst dat je voordeur niet veilig is ook gelijk een inbreker zijn. In mijn ogen onzin dat je aangeklaagd kan worden als je gewoon weg heel simpel vertelt dat XSS mogelijk is en je ze achtergrond informatie erover geeft en hoe te beveiligen.Als je laat zien hoe je een nep login op hun website zet komt het al heel anders over je als je het ze uitlegt en een onschuldig popup laat zien.Als je ze gewoon vertelt dat je denkt dat er misschien een fout op hun website zit en of je dat onder toezicht mag laten zien...dan doe je niks verkeerd en geven ze je waarschijnlijk toestemming om het te laten zien.
FAIL
Ze zien het vast weer als ongevraagd rondneuzen en een grote kans dat ze er niet eens iets mee doen (behalve de klokkenluiders als zondebok gebruiken)
Ze zien het vast weer als ongevraagd rondneuzen en een grote kans dat ze er niet eens iets mee doen (behalve de klokkenluiders als zondebok gebruiken)
27-09-2009, 12:50 door
oom agent
lekker gewoon die exploit gebruiken
en je te laat briefjes weg halen
(had ik ook gedaan in de 1e klas tot de 5e en nooit gemeld :)
en je te laat briefjes weg halen
(had ik ook gedaan in de 1e klas tot de 5e en nooit gemeld :)
27-09-2009, 21:44 door
Preddie
Door H.King: indd, ik denk dat hun niet eens het kwaad inzien van XSS. Daarbij toon je met XSS alleen de fout in het script aan je misbruikt het niet. Anders zou een slotenmaker die je erop wijst dat je voordeur niet veilig is ook gelijk een inbreker zijn. In mijn ogen onzin dat je aangeklaagd kan worden als je gewoon weg heel simpel vertelt dat XSS mogelijk is en je ze achtergrond informatie erover geeft en hoe te beveiligen.Als je laat zien hoe je een nep login op hun website zet komt het al heel anders over je als je het ze uitlegt en een onschuldig popup laat zien.Als je ze gewoon vertelt dat je denkt dat er misschien een fout op hun website zit en of je dat onder toezicht mag laten zien...dan doe je niks verkeerd en geven ze je waarschijnlijk toestemming om het te laten zien.
Je bent zo en zo fout als je dat aangeeft omdat de website/software gebruikt hebt op een andere manier waar het voor bedoelt is, dit is volgens wet in nederland strafbaar zou ver ik weer ...
als ze vragen je naam in te vullen in het venster dat daar voor bedoelt is en je stuur daar een string van 125 x A naar toe ben je inprincipe al fout bezig.
Stel dat je aangeeft waar de fout zit, dan is het makkelijk om die aangevraagde URL (in dit geval) die je gebruikt hebt, terug te zoeken in de weblogs en vervolgens te zien wat je nog uitgespookt hebt. Dat kan dan tevens als bewijs gebruikt worden tegen je. Ik zou daar dus ook erg mee oppassen....
Iedereen bedankt voor de reacties, we zijn er nog steeds niet uit wat we nou gaan doen.
Te bizar voor woorden dat men in 031 al zover is doorgeslagen dat zelfs een goed bedoelde waarschuwing je in de problemen kan brengen.
Helaas loop je door het te melden het risico in flinke problemen te komen terwel je slechts een beetje goodwill kan winnen.
Met flinke tegenzin is mijn advies om het te negeren
Helaas loop je door het te melden het risico in flinke problemen te komen terwel je slechts een beetje goodwill kan winnen.
Met flinke tegenzin is mijn advies om het te negeren
Mijn mening is ook dat je het, eventueel anoniem, moet melden. Dus een briefje schrijven met je bevindingen etc. etc. wat hier al eerder genoemd is.
Ik ben zelf werkzaam als systeembeheerder op een school en bij ons is de regel dat dergelijke meldingen zeer zeker gewaardeerd worden en dus zeker per definitie niet beschouwd worden als een strafbaar feit.
Succes met het nemen van je beslissing!
Ik ben zelf werkzaam als systeembeheerder op een school en bij ons is de regel dat dergelijke meldingen zeer zeker gewaardeerd worden en dus zeker per definitie niet beschouwd worden als een strafbaar feit.
Succes met het nemen van je beslissing!
29-09-2009, 19:37 door
Thasaidon
Ach...
nog even en ze pakken je op wegens drugsbezit als je met een klasgenoot over PHP aan het discussiëren bent...
de gemiddelde leraar/decaan/rector zal niet weten wat PHP is en het verwarren met PCP of GHB :-)
nog even en ze pakken je op wegens drugsbezit als je met een klasgenoot over PHP aan het discussiëren bent...
de gemiddelde leraar/decaan/rector zal niet weten wat PHP is en het verwarren met PCP of GHB :-)
07-10-2009, 08:58 door
H.King
hahahaha !! top reactie
verder :
reacties hier zijn overdreven deze mensen weten niet eens wat XSS is laats staan dat ze weten dat het strafbaar is. En probeer het maar eens een rechter uit te leggen wat de persoon in kwestie verkeerd heeft gedaan....die vraagt of er ergens is ingebroken wat niet het geval is en zal het dan op vrij spraak gooien.Ik bedoel beetje nuchter blijven denken doet wonderen mensen.
verder :
reacties hier zijn overdreven deze mensen weten niet eens wat XSS is laats staan dat ze weten dat het strafbaar is. En probeer het maar eens een rechter uit te leggen wat de persoon in kwestie verkeerd heeft gedaan....die vraagt of er ergens is ingebroken wat niet het geval is en zal het dan op vrij spraak gooien.Ik bedoel beetje nuchter blijven denken doet wonderen mensen.
Door H.King: hahahaha !! top reactie
verder :
reacties hier zijn overdreven deze mensen weten niet eens wat XSS is laats staan dat ze weten dat het strafbaar is. En probeer het maar eens een rechter uit te leggen wat de persoon in kwestie verkeerd heeft gedaan....die vraagt of er ergens is ingebroken wat niet het geval is en zal het dan op vrij spraak gooien.Ik bedoel beetje nuchter blijven denken doet wonderen mensen.
Ik denk dat het eerder zal gaan om de vraag die ongetwijfeld gesteld zal gaan worden door de school...verder :
reacties hier zijn overdreven deze mensen weten niet eens wat XSS is laats staan dat ze weten dat het strafbaar is. En probeer het maar eens een rechter uit te leggen wat de persoon in kwestie verkeerd heeft gedaan....die vraagt of er ergens is ingebroken wat niet het geval is en zal het dan op vrij spraak gooien.Ik bedoel beetje nuchter blijven denken doet wonderen mensen.
"En wat waren jullie met XSS aan het doen toen jullie dit opmerkte?"
Ik zou zeggen, het hangt een beetje van je/de school af, hoe die met vergelijkbare zaken omgaan.
Beginnen ze meteen te stijgeren, zonder te weten over het wat en hoe, dan zou ik zeggen meld het anoniem.
Zijn ze ontvankelijk voor dit soort op/aanmerkingen en/of heb je goed contact met 1 van de beheerders, dan zou ik het gewoon melden.
Ik werk zelf als beheerder op een mbo en heb dagelijks contact met studenten en bij ons is het "beleid" dat we dit soort dingen graag gemeld krijgen en er zal ook geen sanctie opstaan, zolang je niet willens en wetens de boel hebt zitten te slopen of gegevens bent gaan wijzigen.
Beginnen ze meteen te stijgeren, zonder te weten over het wat en hoe, dan zou ik zeggen meld het anoniem.
Zijn ze ontvankelijk voor dit soort op/aanmerkingen en/of heb je goed contact met 1 van de beheerders, dan zou ik het gewoon melden.
Ik werk zelf als beheerder op een mbo en heb dagelijks contact met studenten en bij ons is het "beleid" dat we dit soort dingen graag gemeld krijgen en er zal ook geen sanctie opstaan, zolang je niet willens en wetens de boel hebt zitten te slopen of gegevens bent gaan wijzigen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.