Archief
- De topics van lang geleden
naam webdisigner op website en referentie slecht idee
29-01-2008, 20:44 door Anoniem, 12 reacties
Beste lezer,
Ik constateer dat bijna 30% van alle nederlandse webapplicaties
kwetsbaar zijn voor SQL-injectie en ongeveer 70% kwetsbaar voor XSS
en ongeveer 85% kwetsbaar voor cross frame scripting of cross domain
posting
Als ik een website vind kwetsbaarheden bevat waarop staat vermeld
wie de website heeft ontwikkeld dan vind ik vaak in de referentie lijst van
de webdesigner nog tientallen andere kwetsbare websites.
Zo ontaard het vinden van een enkel SQL-injectie lek vaak in het
ontdekken van 10 tallen websites waarvan de database volledig is uit te
lezen en aan te passen.
keep that in mind.
Greetingz,
Jacco
Ik constateer dat bijna 30% van alle nederlandse webapplicaties
kwetsbaar zijn voor SQL-injectie en ongeveer 70% kwetsbaar voor XSS
en ongeveer 85% kwetsbaar voor cross frame scripting of cross domain
posting
Als ik een website vind kwetsbaarheden bevat waarop staat vermeld
wie de website heeft ontwikkeld dan vind ik vaak in de referentie lijst van
de webdesigner nog tientallen andere kwetsbare websites.
Zo ontaard het vinden van een enkel SQL-injectie lek vaak in het
ontdekken van 10 tallen websites waarvan de database volledig is uit te
lezen en aan te passen.
keep that in mind.
Greetingz,
Jacco
Reacties (12)
30-01-2008, 10:55 door
[Account Verwijderd]
[Verwijderd]
30-01-2008, 12:01 door
lieque
HUH $#@! ? Zijn er serieus mensen die zich bezich houden met ?
SQL-injectie , XSS en server side cross frame scripting?
SQL-injectie , XSS en server side cross frame scripting?
30-01-2008, 13:06 door
[Account Verwijderd]
[Verwijderd]
30-01-2008, 14:38 door
lieque
Ook voor jouw geld dit lijkt mij:
Let wel op je spelfouten we leven niet in die brakke kpn
wereld qua sms taal
Let wel op je spelfouten we leven niet in die brakke kpn
wereld qua sms taal
0000h , S0rr3y Br34s3r Sch4tje,
H3b jij z1n 1k w0rdt al z0 wld van de sssssssmmmmmmmm S
G3d4cht3.... ( @_@ )
H3t 1s So Sp4nn3nde 0ntd3kk1ngs t0cht !
(_)_)=============O ~
* NOT *
Jacco, jij bent toch die wannado wannabee....
Volgens mij heb jij van niemand een schriftelijke
toestemming ontvangen om zijn/haar cms te controleren op
mogelijke kwetsbaarheden.
En dus ben je strafbaar bezig en hoop ik van harte dat je
ter verantwoording word geroepen.
Het lijkt mij beter om je te verdiepen in het Nederlands als
taal ipv. het wijzen op taalgebruik van anderen en het
proberen te vernielen van andermans creatie....
Stropen naar bekende exploits in alom gebruikte CMSsen is
niet stoer, dat is heel eenvoudig en is er weinig kennis
voor nodig.
Zal ik anders iedere dag bij jou een raam in komen gooien
net zo lang tot dat je alle ramen hebt voorzien van gewapend
glas en/of rolluiken..??
Volgens mij heb jij van niemand een schriftelijke
toestemming ontvangen om zijn/haar cms te controleren op
mogelijke kwetsbaarheden.
En dus ben je strafbaar bezig en hoop ik van harte dat je
ter verantwoording word geroepen.
Het lijkt mij beter om je te verdiepen in het Nederlands als
taal ipv. het wijzen op taalgebruik van anderen en het
proberen te vernielen van andermans creatie....
Stropen naar bekende exploits in alom gebruikte CMSsen is
niet stoer, dat is heel eenvoudig en is er weinig kennis
voor nodig.
Zal ik anders iedere dag bij jou een raam in komen gooien
net zo lang tot dat je alle ramen hebt voorzien van gewapend
glas en/of rolluiken..??
31-01-2008, 00:58 door
Arno Nimus
Door Nielsk
ps: zo'n referentie lijst is hetzelfde als bijvoorbeeld een Open Source syteem. Als je daar eenmaal een explo in weet kun je die ook op elke zelfde versie misbruiken (of gewoon melden)
Dat heeft niks met Open Source te maken.ps: zo'n referentie lijst is hetzelfde als bijvoorbeeld een Open Source syteem. Als je daar eenmaal een explo in weet kun je die ook op elke zelfde versie misbruiken (of gewoon melden)
Even geheel los van deze discussie: Als je anderen op hun taalfouten wijst, wil je er dan in elk geval voor zorgen dat je zelf wel een correcte spelling én grammatica hanteert? Er mist bijvoorbeeld nog wel eens een T achter een D, een puntje, een komma of een [url=http://nl.wikipedia.org/wiki/Zinsdeel#Onderwerp]onderwerp[/url].
Verder ontbreekt er ook nog wel eens een letter in een woord of ontbreekt er een koppelteken, deel je woorden op in delen waar dat niet zou moeten of gebruik je woorden waarvan ik het bestaan niet wist. (nu zou dat laatste natuurlijk ook aan mij kunnen liggen, maar in dat geval vraag ik me af wat bijvoorbeeld een "explo" is)
Kort samengevat: Typisch gevalletje "Pot verwijt ketel..."
31-01-2008, 08:48 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem
Jacco, jij bent toch die wannado wannabee....
Volgens mij heb jij van niemand een schriftelijke
toestemming ontvangen om zijn/haar cms te controleren op
mogelijke kwetsbaarheden.
En dus ben je strafbaar bezig en hoop ik van harte dat je
ter verantwoording word geroepen.
Het lijkt mij beter om je te verdiepen in het Nederlands als
taal ipv. het wijzen op taalgebruik van anderen en het
proberen te vernielen van andermans creatie....
Stropen naar bekende exploits in alom gebruikte CMSsen is
niet stoer, dat is heel eenvoudig en is er weinig kennis
voor nodig.
Zal ik anders iedere dag bij jou een raam in komen gooien
net zo lang tot dat je alle ramen hebt voorzien van gewapend
glas en/of rolluiken..??
Jacco, jij bent toch die wannado wannabee....
Volgens mij heb jij van niemand een schriftelijke
toestemming ontvangen om zijn/haar cms te controleren op
mogelijke kwetsbaarheden.
En dus ben je strafbaar bezig en hoop ik van harte dat je
ter verantwoording word geroepen.
Het lijkt mij beter om je te verdiepen in het Nederlands als
taal ipv. het wijzen op taalgebruik van anderen en het
proberen te vernielen van andermans creatie....
Stropen naar bekende exploits in alom gebruikte CMSsen is
niet stoer, dat is heel eenvoudig en is er weinig kennis
voor nodig.
Zal ik anders iedere dag bij jou een raam in komen gooien
net zo lang tot dat je alle ramen hebt voorzien van gewapend
glas en/of rolluiken..??
Gast... sla jij de plank hier even gigantisch mis. Zo te
lezen ben je al behoorlijk bevooroordeeld over iedereen en
alles. Lees het stuk van Jacco nu eens opnieuw met in het
achterhoofd dat hij hier een waarschuwing stuurt aan
iedereen die een kant-en-klaar CMS download en gaat gebruiken.
Nergens in het hele verhaal kom ik tegen dat jacco sites
plat legt of databases sloopt, dat komt alleen aan de orde
in jouw post en daar ga je vervolgens over uitwijden alsof
het hele verhaal draaide om het slopen van sites. Daarnaast
heb ik het idee dat je 0,0 verstand hebt van pentesten.
Tijdens het pentesten sloop je niks maar constateer je enkel
dat er bepaalde mogelijkheden zijn die je ook zou kunnen
misbruiken.
En waar haal jij trouwens de conclusie vandaan dat hij geen
toestemming heeft gehad?
Praat liever over dingen waar je wel verstand van hebt en
kom niet blaaten als een dom schaap op een serieus security
forum puur omdat je de pik hebt op mensen met een hoger IQ
die wel weten hoe ze een solide pentest uit moeten voeren.
-Jeroen
Door Anoniem
Gast... sla jij de plank hier even gigantisch mis. Zo te
lezen ben je al behoorlijk bevooroordeeld over iedereen en
alles. Lees het stuk van Jacco nu eens opnieuw met in het
achterhoofd dat hij hier een waarschuwing stuurt aan
iedereen die een kant-en-klaar CMS download en gaat gebruiken.
Nergens in het hele verhaal kom ik tegen dat jacco sites
plat legt of databases sloopt, dat komt alleen aan de orde
in jouw post en daar ga je vervolgens over uitwijden alsof
het hele verhaal draaide om het slopen van sites. Daarnaast
heb ik het idee dat je 0,0 verstand hebt van pentesten.
Tijdens het pentesten sloop je niks maar constateer je enkel
dat er bepaalde mogelijkheden zijn die je ook zou kunnen
misbruiken.
En waar haal jij trouwens de conclusie vandaan dat hij geen
toestemming heeft gehad?
Praat liever over dingen waar je wel verstand van hebt en
kom niet blaaten als een dom schaap op een serieus security
forum puur omdat je de pik hebt op mensen met een hoger IQ
die wel weten hoe ze een solide pentest uit moeten voeren.
-Jeroen
tot die laatste paragraaf had je nog een punt, daarnaDoor Anoniem
Jacco, jij bent toch die wannado wannabee....
Volgens mij heb jij van niemand een schriftelijke
toestemming ontvangen om zijn/haar cms te controleren op
mogelijke kwetsbaarheden.
En dus ben je strafbaar bezig en hoop ik van harte dat je
ter verantwoording word geroepen.
Het lijkt mij beter om je te verdiepen in het Nederlands als
taal ipv. het wijzen op taalgebruik van anderen en het
proberen te vernielen van andermans creatie....
Stropen naar bekende exploits in alom gebruikte CMSsen is
niet stoer, dat is heel eenvoudig en is er weinig kennis
voor nodig.
Zal ik anders iedere dag bij jou een raam in komen gooien
net zo lang tot dat je alle ramen hebt voorzien van gewapend
glas en/of rolluiken..??
Jacco, jij bent toch die wannado wannabee....
Volgens mij heb jij van niemand een schriftelijke
toestemming ontvangen om zijn/haar cms te controleren op
mogelijke kwetsbaarheden.
En dus ben je strafbaar bezig en hoop ik van harte dat je
ter verantwoording word geroepen.
Het lijkt mij beter om je te verdiepen in het Nederlands als
taal ipv. het wijzen op taalgebruik van anderen en het
proberen te vernielen van andermans creatie....
Stropen naar bekende exploits in alom gebruikte CMSsen is
niet stoer, dat is heel eenvoudig en is er weinig kennis
voor nodig.
Zal ik anders iedere dag bij jou een raam in komen gooien
net zo lang tot dat je alle ramen hebt voorzien van gewapend
glas en/of rolluiken..??
Gast... sla jij de plank hier even gigantisch mis. Zo te
lezen ben je al behoorlijk bevooroordeeld over iedereen en
alles. Lees het stuk van Jacco nu eens opnieuw met in het
achterhoofd dat hij hier een waarschuwing stuurt aan
iedereen die een kant-en-klaar CMS download en gaat gebruiken.
Nergens in het hele verhaal kom ik tegen dat jacco sites
plat legt of databases sloopt, dat komt alleen aan de orde
in jouw post en daar ga je vervolgens over uitwijden alsof
het hele verhaal draaide om het slopen van sites. Daarnaast
heb ik het idee dat je 0,0 verstand hebt van pentesten.
Tijdens het pentesten sloop je niks maar constateer je enkel
dat er bepaalde mogelijkheden zijn die je ook zou kunnen
misbruiken.
En waar haal jij trouwens de conclusie vandaan dat hij geen
toestemming heeft gehad?
Praat liever over dingen waar je wel verstand van hebt en
kom niet blaaten als een dom schaap op een serieus security
forum puur omdat je de pik hebt op mensen met een hoger IQ
die wel weten hoe ze een solide pentest uit moeten voeren.
-Jeroen
verlaag je jezelf tot een niveau waarvan je juist een ander
beschuldigd.
ik weet niet wat jacco precies wil zeggen want het is niet
heel duidelijk. maar naar het lezen van zijn eerste
paragraaf waar hij zomaar even een aantal percentages uit de
hoge hoed tovert heb ik mijn twijfels dat deel van zijn
onderzoek.
dat ie daarna tot de conclusie komt dat een bepaalde
webbouwer dezelfde fouten op meerdere van zijn websites
maakt dan vind ik dat niet echt een erg spannende ontdekking.
Het IQ is maar betrekkelijk. Als voorbeeld bedraagt mijn IQ
volgens "[url=http://testmijniq.nl/]Test mijn IQ[/url]"
gemiddeld ~140 (klassieke test), ~140 (algemene kennis) en
~150 (rekenvaardigheid), bij welke het EQ zeker mede van
belang is bij interactie met andere mensen.
Normaal gesproken zoeken mensen andere mensen van een
ongeveer vergelijkbaar kaliber. Voor mensen met een hoger IQ
dan gemiddeld is dat beduidend lastiger. In dat geval moet
je er zeker voor waken niet te 'verzuren' in je
communicatie met anderen. Een hoger EQ zal je daartegen
behoeden.
(Vanwege de behaalde scores, heb ik mijn reactie in deze
anoniem geplaatst en heb ik geen affiniteit met voorgaande
anonieme reacties.)
volgens "[url=http://testmijniq.nl/]Test mijn IQ[/url]"
gemiddeld ~140 (klassieke test), ~140 (algemene kennis) en
~150 (rekenvaardigheid), bij welke het EQ zeker mede van
belang is bij interactie met andere mensen.
Normaal gesproken zoeken mensen andere mensen van een
ongeveer vergelijkbaar kaliber. Voor mensen met een hoger IQ
dan gemiddeld is dat beduidend lastiger. In dat geval moet
je er zeker voor waken niet te 'verzuren' in je
communicatie met anderen. Een hoger EQ zal je daartegen
behoeden.
(Vanwege de behaalde scores, heb ik mijn reactie in deze
anoniem geplaatst en heb ik geen affiniteit met voorgaande
anonieme reacties.)
03-02-2008, 19:52 door
[Account Verwijderd]
[Verwijderd]
@ Jeroen: Crimineel gedrag is niet noodzakelijk voor de
diagnose
http://nl.wikipedia.org/wiki/Sociopaat
Bertus Bierbuik
diagnose
http://nl.wikipedia.org/wiki/Sociopaat
Bertus Bierbuik
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.