image

Tiener vindt lekken in Google, Facebook en Microsoft

vrijdag 3 februari 2012, 10:31 door Redactie, 13 reacties

Een Noorse tiener die sinds zijn veertiende naar lekken in software zoekt, heeft inmiddels kwetsbaarheden in de code van Microsoft, Apple, Google en Facebook gevonden. De 15-jarige Cim Stordal staat in de Google Security Hall of Fame, wordt bedankt in advisories van Apple en Microsoft en kreeg een White Hat Visa card van Facebook met 500 dollar erop.

"Ik kreeg een kaart voor een self-persistent cross-site scripting-lek op Facebook, en een nonpersistent cross-site scripting-lek bij Google, Microsoft en Apple", laat hij in een interview met Cnet weten. "Ik kijk gewoon rond op de site om te zien waar ik HTML en andere dingen kan invoeren en of het niet door de broncode wordt gefilterd. Vaak filteren ze sommige karakters, maar vergeten ze andere of vergeten ze de invoer helemaal. Een aanvaller wil vaak het cookie, waarmee hij als de gebruiker kan inloggen."

Waarschuwing
Het lek in Facebook had hij na vier dagen gevonden, terwijl het Google-lek hem drie dagen kostte. Bij Apple had hij slechts vijf minuten nodig om twee cross-site scripting-lekken te vinden. Doordat hij eerst de getroffen bedrijven waarschuwde waren die ook tevreden. Inmiddels richt Stordal zich op het vinden van lekken in mobiele apparaten.

Reacties (13)
03-02-2012, 11:20 door Fulco
In 5 minuten 2 lekken bij Apple. Zeker snel gevoonden t.o.v. de overige producten. Ik zou zeggen Apple is niet zo veilig als ze zeggen. Waarschijnlijk meer attacks op Apple....
03-02-2012, 11:38 door Facepalm
cross-site scripting-lek vinden kan (bijna) iedereen. Handleidingen vol op Google zelf. Zeker een script-kid die alles kopieert en daarna plakt.
03-02-2012, 11:47 door tarunjj
De snelheid van vinden zegt niets over de ernst. Ik gebruik sinds 1990 een Mac en heb nog nooit een virus of iets gelijkwaardig gehad. En dat terwijl ik regelmatig in de spelonken van het internet rondsnuffel.
03-02-2012, 12:24 door N4ppy
Door Facepalm: cross-site scripting-lek vinden kan (bijna) iedereen. Handleidingen vol op Google zelf. Zeker een script-kid die alles kopieert en daarna plakt.
Als ik hier kijk dan heb jij een ander concept van iedereen in gedachte dan van Dale.
http://www.google.com/about/company/halloffame.html
03-02-2012, 13:13 door choi
Door Facepalm: cross-site scripting-lek vinden kan (bijna) iedereen. Handleidingen vol op Google zelf. Zeker een script-kid die alles kopieert en daarna plakt.
Kritiek leveren kan iedereen. Zat wannabe's te vinden op fora. Wanneer jij ook in die Hall of Fame staat mag je weer posten op het forum
03-02-2012, 13:19 door Night
Als je het cnet.com artikel leest lijkt het wel of het opsporen van cross-site scripting zijn grote hobby is. Maar om daar een waardeoordeel over de persoon of zijn successen op te baseren gaat mij te ver.

Bovendien stel je eens voor dat niemand cross-site scripting bij de "big guys on the internet" rapporteerde?

Ik zeg: Cim Stordal, gewoon lekker doorgaan.
03-02-2012, 16:07 door Rene V
Door Facepalm: cross-site scripting-lek vinden kan (bijna) iedereen. Handleidingen vol op Google zelf. Zeker een script-kid die alles kopieert en daarna plakt.

https://midlistlife.files.wordpress.com/2010/10/picard_facepalm.jpg

^^
03-02-2012, 16:07 door SLight
Iedereen kan lekken in website vinden zolang je maar blijft zoeken.
03-02-2012, 18:04 door Anoniem
Door Fulco: In 5 minuten 2 lekken bij Apple. Zeker snel gevoonden t.o.v. de overige producten. Ik zou zeggen Apple is niet zo veilig als ze zeggen. Waarschijnlijk meer attacks op Apple....

Want de veiligheid van de website zegt iets over de veiligheid van het operating system? Rrrrrrrrrrrrrright!
04-02-2012, 13:09 door Anoniem
Alleen een kind meldt dit soort lekken...zijn manieren om hier veel meer geld aan te verdienen dan deze lage vergoedingen.
04-02-2012, 19:58 door Anoniem
'Iedereen kan lekken in website vinden zolang je maar blijft zoeken.'

wat een bull-sh1t zeg.
Een statische html pagina met enkel de text 'hallo world' ga je geen lek vinden hoe lang je ook blijft zoeken.

xss,csrf en sql-injectie fouten worden door een goed programmeeur gewoon niet gemaakt.
05-02-2012, 17:57 door Anoniem
Door Anoniem: 'Iedereen kan lekken in website vinden zolang je maar blijft zoeken.'

wat een bull-sh1t zeg.
Een statische html pagina met enkel de text 'hallo world' ga je geen lek vinden hoe lang je ook blijft zoeken.

xss,csrf en sql-injectie fouten worden door een goed programmeeur gewoon niet gemaakt.

Nee, maar alles wordt steeds gecompliceerder en grote websites gebruiken nu eenmaal vaak PHP en MySQL, omdat dat handiger in gebruik beheer is en een website met alleen Hello World bestaat voor een bedrijf, etc gewoon niet.

Ik weet zelf dat er behoorlijk wat websites lek zijn, ik heb al lekken doorgegeven in de website van een computerwinkel, het enige wat ze er aan gedaan hebben is SQL waarschuwingen uitschakelen, toen heb ik ook een aangeraden om een security audit te laten doen hebben ze niet gedaan en aan de HTML code te zien is de contact pagina ook kwetsbaar voor XSS, dan nog een identifier based authorization lek in een grote onderwijs site, waarbij ik ook Noorse, Zweedse, Engelse en Nederlandse namen op het scherm kon toveren, wel 1 per keer, ik heb dit lek 3 weken geleden bij support gemeld en er is nog steeds niks mee gebeurd, dus dan maar naar info/admin/administrator/webmaster@...com gestuurd en nog een 'lek' in de website van pentesters waarbij je standaard naar een errorpagina wordt doorverwezen bij een directory/bestand dat niet bestaat, oid, maar bij de images map zag je mooi de standaard waarschuwingspagina inclusief de directory op de server.

Door Anoniem: Alleen een kind meldt dit soort lekken...zijn manieren om hier veel meer geld aan te verdienen dan deze lage vergoedingen.

Ik meld lekken anoniem met de Tails Live CD en wil mensen helpen met de beveiliging van hun site en ik ben nog geen eens zo heel veel ouder dan hij...
06-02-2012, 15:33 door Anoniem
Door choi:
Door Facepalm: cross-site scripting-lek vinden kan (bijna) iedereen. Handleidingen vol op Google zelf. Zeker een script-kid die alles kopieert en daarna plakt.
Kritiek leveren kan iedereen. Zat wannabe's te vinden op fora. Wanneer jij ook in die Hall of Fame staat mag je weer posten op het forum


ik sta in de google security hall of fame ^^ :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.