Archief
- De topics van lang geleden
XSS in website melden of beter van niet?
17-10-2007, 15:38 door Anoniem, 24 reacties
Als je een XSS exploit vind kun je dat dan beter voor je zelf houden?
Of is er mogelijkheid tot anoniem melden of klokkenluiders
bescherming?
Of gewoon hier op het forum posten?
Waar kun je terecht?
Greetingz,
Jacco
Of is er mogelijkheid tot anoniem melden of klokkenluiders
bescherming?
Of gewoon hier op het forum posten?
Waar kun je terecht?
Greetingz,
Jacco
Reacties (24)
17-10-2007, 15:56 door
Mameomowskwooz
De titel van je posting is niet in overeenstemming met wat je later
schrijft.
Als je een exploit vindt (op webserver-software of een web-
development-tool) kun je die melden bij de ontwikkelaars van de
software waar de exploit betrekking op heeft.
Als het om een XSS vulnerability op een website gaat, zou ik dat
melden aan de webmaster van het betreffende domein. (webmaster@domain.com)
Als je het publiek stelt wordt dat uiteraard niet altijd in dank
afgenomen...
schrijft.
Als je een exploit vindt (op webserver-software of een web-
development-tool) kun je die melden bij de ontwikkelaars van de
software waar de exploit betrekking op heeft.
Als het om een XSS vulnerability op een website gaat, zou ik dat
melden aan de webmaster van het betreffende domein. (webmaster@domain.com)
Als je het publiek stelt wordt dat uiteraard niet altijd in dank
afgenomen...
17-10-2007, 15:56 door
SirDice
Je kan natuurlijk gewoon proberen de eigenaar van die site
te waarschuwen....
te waarschuwen....
Wie kan ik asap berijken bij de regering/justitie/ministeries?
ivm XSS en mogelijk ook SQL injection
Greetingz,
Jacco
ivm XSS en mogelijk ook SQL injection
Greetingz,
Jacco
Door Anoniem
het eerst ministerie heeft al gebeld.
Greetingz,
Jacco
het eerst ministerie heeft al gebeld.
Greetingz,
Jacco
En wat zeiden ze? Misschien zoiets als "We weten waar je huis woont.".
Of gingen ze er serieus op in?
Door Anoniem
En wat zeiden ze? Misschien zoiets als "We weten waar
je huis woont.".
Of gingen ze er serieus op in?
En wat zeiden ze? Misschien zoiets als "We weten waar
je huis woont.".
Of gingen ze er serieus op in?
Door de verantwoordelijk van een een van de ministeries is
serieus geluisterd. Maar door de ministeries waarvoor
informatie beveiliging erg belangrijk is en beveiliging
tevens hun vak is is nog niet gereageerd.
Govcert heeft nu ook gereageerd op de 10tallen
kwetsbaarheden die ik aan hun heb gerapporteerd
Greetingz,
Jacco
18-10-2007, 15:26 door
Mameomowskwooz
Door Anoniem
Door de verantwoordelijk van een een van de ministeries is
serieus geluisterd. Maar door de ministeries waarvoor
informatie beveiliging erg belangrijk is en beveiliging
tevens hun vak is is nog niet gereageerd.
Govcert heeft nu ook gereageerd op de 10tallen
kwetsbaarheden die ik aan hun heb gerapporteerd
Greetingz,
Jacco
Door Anoniem
En wat zeiden ze? Misschien zoiets als "We weten waar
je huis woont.".
Of gingen ze er serieus op in?
En wat zeiden ze? Misschien zoiets als "We weten waar
je huis woont.".
Of gingen ze er serieus op in?
Door de verantwoordelijk van een een van de ministeries is
serieus geluisterd. Maar door de ministeries waarvoor
informatie beveiliging erg belangrijk is en beveiliging
tevens hun vak is is nog niet gereageerd.
Govcert heeft nu ook gereageerd op de 10tallen
kwetsbaarheden die ik aan hun heb gerapporteerd
Greetingz,
Jacco
Het was misschien toch niet handig hierover op dit forum te berichten.
Je geeft nu al aan dat het websites van overheden betreft... Zijn die
overheden misschien niet zo van gecharmeerd... Je doet dan
weliswaar geen full disclosure, maar toch.
Ik wist anders niet wie ik hier over moest informeren. Van
vrijwel alle [email]webmaster@domein.nl[/email] kreeg ik een mailtje terug
dat de email niet af te leveren was op een na.
Ik had het ze ook allemaal persoonlijk willen vertellen
vandaag op het govcert symposium maar daar was naar zeggen
van govcert geen plek voor mij.Ik zag gewoon geen andere
weg.Sorry als ik sommige diensten in verlegenheid heb
gebracht. Dit hebben ze imo overigens alleen maar aan hun
eigen nalatigheid te danken.
Overigens hoorde ik van bronnen dat zij met volledige
afdelingen aanwezig mochten zijn op het symposium terwijl
govcert mij heeft verteld dat van iedere organistie maar
maximaal 2 mensen konden komen en dat het alleen voor leden
toegankelijk was.
Ik denk dat ze van govcert niet helemaal eerlijk zijn
geweest tegen mij en gewoon liever niet hadden dat ik
deelnam. Dat hadden ze dan gewoon mogen zeggen tegen mij.
Misschien omdat ik in het verleden wat (imo terecht) kritiek
heb geleverd op govcert en de overheid (oa hier op het forum).
Mijn kritiek van destijds rond de stemcomputers word
overigens nu erkend door een onafhankelijke commisie die
kort geleden met hun adviezen zijn gekomen.
Ze zouden bij govcert eens over hun trots heen moeten stappen.
Greetingz,
Jacco
vrijwel alle [email]webmaster@domein.nl[/email] kreeg ik een mailtje terug
dat de email niet af te leveren was op een na.
Ik had het ze ook allemaal persoonlijk willen vertellen
vandaag op het govcert symposium maar daar was naar zeggen
van govcert geen plek voor mij.Ik zag gewoon geen andere
weg.Sorry als ik sommige diensten in verlegenheid heb
gebracht. Dit hebben ze imo overigens alleen maar aan hun
eigen nalatigheid te danken.
Overigens hoorde ik van bronnen dat zij met volledige
afdelingen aanwezig mochten zijn op het symposium terwijl
govcert mij heeft verteld dat van iedere organistie maar
maximaal 2 mensen konden komen en dat het alleen voor leden
toegankelijk was.
Ik denk dat ze van govcert niet helemaal eerlijk zijn
geweest tegen mij en gewoon liever niet hadden dat ik
deelnam. Dat hadden ze dan gewoon mogen zeggen tegen mij.
Misschien omdat ik in het verleden wat (imo terecht) kritiek
heb geleverd op govcert en de overheid (oa hier op het forum).
Mijn kritiek van destijds rond de stemcomputers word
overigens nu erkend door een onafhankelijke commisie die
kort geleden met hun adviezen zijn gekomen.
Ze zouden bij govcert eens over hun trots heen moeten stappen.
Greetingz,
Jacco
18-10-2007, 17:27 door
[Account Verwijderd]
[Verwijderd]
SQL injection blijkt niet mogelijk.
Nader contact heeft mij doen besluiten geen fulldisclosure
van de XSS kwetsbaarheden te doen omdat ik de goede relatie
met de verschillende ministeries in stand wil houden.
Greetingz,
Jacco
Nader contact heeft mij doen besluiten geen fulldisclosure
van de XSS kwetsbaarheden te doen omdat ik de goede relatie
met de verschillende ministeries in stand wil houden.
Greetingz,
Jacco
Door Anoniem
SQL injection blijkt niet mogelijk.
Nader contact heeft mij doen besluiten geen fulldisclosure
van de XSS kwetsbaarheden te doen omdat ik de goede relatie
met de verschillende ministeries in stand wil houden.
Greetingz,
Jacco
SQL injection blijkt niet mogelijk.
Nader contact heeft mij doen besluiten geen fulldisclosure
van de XSS kwetsbaarheden te doen omdat ik de goede relatie
met de verschillende ministeries in stand wil houden.
Greetingz,
Jacco
Meneer van Tuijl: U wordt beroemd!
http://www.webwereld.nl/articles/48359/-overheidssites-vatbaar-voor-
xss-aanval-en-sql-injectie-.html
grappig hoe je hier vraagt wat je moet doen en dan op dat rootx forum
gaat lopen posten. het komt deels een beetje over als aandachtzoekerij.
gaat lopen posten. het komt deels een beetje over als aandachtzoekerij.
19-10-2007, 15:34 door
Dr.Wh4x
Toch wel weer triest dat de overheid niks zelf kan
'pentesten' of beveiligen, en de jeugd dit altijd weer moet
doen.
Nou je bent niet de enige: http://hackers-project.info/phpBB2/viewtopic.php?t=91
'pentesten' of beveiligen, en de jeugd dit altijd weer moet
doen.
Nou je bent niet de enige: http://hackers-project.info/phpBB2/viewtopic.php?t=91
19-10-2007, 19:26 door
Eghie
Beetje input filtering op websites is er tegenwoordig niet
meer bij. :S
Man, bijna elke website is wel kwetsbaar voor XSS of Session
Hijacking. En dan zijn er ook nog zat waarbij de
mogelijkheid tot SQL injection nog steeds aanwezig is.
Alsof er nog niet genoeg info is op het internet om je daar
tegen te beveiligen.
meer bij. :S
Man, bijna elke website is wel kwetsbaar voor XSS of Session
Hijacking. En dan zijn er ook nog zat waarbij de
mogelijkheid tot SQL injection nog steeds aanwezig is.
Alsof er nog niet genoeg info is op het internet om je daar
tegen te beveiligen.
19-10-2007, 21:18 door
the virusman
Door Anoniem
Wie kan ik asap berijken bij de regering/justitie/ministeries?
ivm XSS en mogelijk ook SQL injection
Greetingz,
Jacco
Wie kan ik asap berijken bij de regering/justitie/ministeries?
ivm XSS en mogelijk ook SQL injection
Greetingz,
Jacco
je kunt mij berijken, zal mijn rekening nummer wel geven.
(grapje, ben zelf ook geen taal wonder)
Door Anoniem
....
Ik denk dat ze van govcert niet helemaal eerlijk zijn
geweest tegen mij en gewoon liever niet hadden dat ik
deelnam....
....
Ik denk dat ze van govcert niet helemaal eerlijk zijn
geweest tegen mij en gewoon liever niet hadden dat ik
deelnam....
ok, en wat zou jou dan in godsnaam zo speciaal maken dat jij
wel zou mogen komen als niet lid ?
Ik vind je een beetje zielig eerlijk gezegt. Zeker nog
steeds geen baan he! :) Moet je vooral zo door gaan met die
aandachttrekkerij. Beetje jammer van security.nl dat ze hier
zo in meegaan.....
"Beetje jammer van security.nl dat ze hier zo in meegaan....."
Volledig terecht. De websites waarover het gaat hebben onder meer
betrekking op nationale veiligheid, en het is een schande dat eenieder
daar zomaar binnen kan komen via simpele cross-site scripting / sql
injection.
Jammer dat het niet verstandig is om hier publiekelijk verder
inhoudelijk al te diep op in te gaan, want ik denk dat mensen met
verbazing zouden staan te kijken als men wist wat voor gevoelige
operationele informatie door deze beveiligingsfouten op straat ligt.
Volledig terecht. De websites waarover het gaat hebben onder meer
betrekking op nationale veiligheid, en het is een schande dat eenieder
daar zomaar binnen kan komen via simpele cross-site scripting / sql
injection.
Jammer dat het niet verstandig is om hier publiekelijk verder
inhoudelijk al te diep op in te gaan, want ik denk dat mensen met
verbazing zouden staan te kijken als men wist wat voor gevoelige
operationele informatie door deze beveiligingsfouten op straat ligt.
Beetje input filtering op websites is er tegenwoordig niet
meer bij. :S
Input filtering is voor mensen die niet kunnen programmeren...
20-10-2007, 17:24 door
Eghie
Door Anoniem
Beetje input filtering op websites is er tegenwoordig niet
meer bij. :S
Input filtering is voor mensen die niet kunnen
programmeren...
Kun je me dit wat beter uitleggen waarom dit zou zijn? InputBeetje input filtering op websites is er tegenwoordig niet
meer bij. :S
Input filtering is voor mensen die niet kunnen
programmeren...
filtering is toch gewoon nodig? Ik bedoel overigens met
input filtering, niet input weg laten, maar op de juiste
manier "escapen" en ermee om te gaan. Iets als parametrized
queries in SQL, htmlentities gebruiken, mime injection
tegengaan, als parametrized queries niet werken op je DBMS,
dan SQL injection tegen gaan door te escapen.
20-10-2007, 17:37 door
the virusman
Ben eigenlijk niet goed thuis in de materie om websites te beveiligen,
maarhoe veilig is eigenlijk een flash site.
Waar liggen hier de gevaren op de loer ??
maarhoe veilig is eigenlijk een flash site.
Waar liggen hier de gevaren op de loer ??
Door Eghie
filtering is toch gewoon nodig? Ik bedoel overigens met
input filtering, niet input weg laten, maar op de juiste
manier "escapen" en ermee om te gaan. Iets als parametrized
queries in SQL, htmlentities gebruiken, mime injection
tegengaan, als parametrized queries niet werken op je DBMS,
dan SQL injection tegen gaan door te escapen.
Door Anoniem
Beetje input filtering op websites is er tegenwoordig niet
meer bij. :S
Input filtering is voor mensen die niet kunnen
programmeren...
Kun je me dit wat beter uitleggen waarom dit zou zijn? InputBeetje input filtering op websites is er tegenwoordig niet
meer bij. :S
Input filtering is voor mensen die niet kunnen
programmeren...
filtering is toch gewoon nodig? Ik bedoel overigens met
input filtering, niet input weg laten, maar op de juiste
manier "escapen" en ermee om te gaan. Iets als parametrized
queries in SQL, htmlentities gebruiken, mime injection
tegengaan, als parametrized queries niet werken op je DBMS,
dan SQL injection tegen gaan door te escapen.
Input filtering is voor mij het filteren van input, alsin het weglaten van
potentieel gevaarlijke characters. De kunst is om te zorgen dat data op de
juiste manier geinterpreteerd wordt. Het filteren van data wordt dan
overbodig, zeker als het gaat om veiligheid. Je gaf zelf al aan op welke
wijze je dit voor elkaar kunt krijgen... Het liefst geimplementeerd in een
mooi MVC framework waarbij dit allemaal automagisch wordt gedaan
natuurlijk ;)
Door the virusman
Ben eigenlijk niet goed thuis in de materie om websites te
beveiligen,
maarhoe veilig is eigenlijk een flash site.
Waar liggen hier de gevaren op de loer ??
wat is precies een "flash site"? op elke site waar je zelfBen eigenlijk niet goed thuis in de materie om websites te
beveiligen,
maarhoe veilig is eigenlijk een flash site.
Waar liggen hier de gevaren op de loer ??
zaken kan beïnvloeden bestaat de mogelijkheid tot
manipulatie als die niet aan de achterkant netjes wordt
afgehandeld.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.