Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
SQL injectie melden
01-03-2012, 10:09 door Anoniem, 10 reacties
Hallo,
Ik heb een aantal grotere winkels gevonden welke kwetsbaar zijn voor sql injectie.
Nu vroeg ik me af hoe kun je dit het beste mededelen zodat ze het op kunnen lossen?
Ik wil uiteraard niet in de problemen komen, omdat ik per toeval een fout in hun website vindt.
mvg,
Henk
Ik heb een aantal grotere winkels gevonden welke kwetsbaar zijn voor sql injectie.
Nu vroeg ik me af hoe kun je dit het beste mededelen zodat ze het op kunnen lossen?
Ik wil uiteraard niet in de problemen komen, omdat ik per toeval een fout in hun website vindt.
mvg,
Henk
Reacties (10)
mijn ervaring is dat je het beste gebruik kan maken van het 'recht op bronbescherming' dat journalisten hebben.
Reken er niet op deat onze overheid je beschermd.
Deze nalatige luilakken (of zijn ze gewoon onkundig?) doen niets om je te beschermen.
En als je identiteit bekend wordt kan/hoef je NOOIT meer voor ze komen werken.
Dat is de dank die je krijgt
mijn advies: mail Brenno de Winter
Greetingz,
Jacco
Reken er niet op deat onze overheid je beschermd.
Deze nalatige luilakken (of zijn ze gewoon onkundig?) doen niets om je te beschermen.
En als je identiteit bekend wordt kan/hoef je NOOIT meer voor ze komen werken.
Dat is de dank die je krijgt
mijn advies: mail Brenno de Winter
Greetingz,
Jacco
01-03-2012, 13:44 door
SirDice
Begin eens met het melden van het probleem bij de webmaster aka de eigenaar van de website.
Wees gewoon eerlijk en professioneel, meld wat je gevonden hebt en hoe ze het eventueel op kunnen lossen (en daar bedoel ik niet mee dat ze jou kunnen inhuren voor een X bedrag).
Wees gewoon eerlijk en professioneel, meld wat je gevonden hebt en hoe ze het eventueel op kunnen lossen (en daar bedoel ik niet mee dat ze jou kunnen inhuren voor een X bedrag).
ik kan je absoluut niet aanraden om te doen wat SirDice zegt; ik spreek uit ervaring.
Ik heb dit al enkele 100den keren gedaan
Greetingz,
Jacco
Ik heb dit al enkele 100den keren gedaan
Greetingz,
Jacco
01-03-2012, 14:39 door
DanielG
Bel/mail/sms Brenno de winter.
01-03-2012, 15:10 door
SirDice
Door Anoniem: ik kan je absoluut niet aanraden om te doen wat SirDice zegt; ik spreek uit ervaring.
Ik heb dit al enkele 100den keren gedaan
Wat ging er mis dan? Ik heb nooit problemen ondervonden.Ik heb dit al enkele 100den keren gedaan
Als het "per toeval is" dan heb je niets te vrezen (stel je heet Joris van 't Hoogt en de webwinkel struikelt over de '). Anders heb je je schuldig gemaakt aan computervredebreuk. Itt Jacco boven schrijft zijn journalisten slechts tot zekere hoogte beschermd bij het overtreden van de wet. Heb je bv een deel van de bezoekersdatabase gedownload, dan is er geen redden meer aan, tenzij je slachtoffer coulant is.
Gewoon de hele database leegtrekken en op pastebin knallen, we leven in 2012 hè mensen. Oja, vergeet er niet 'Anonymous' onder te zetten ;).
Same hier, brenno is een onetische lul die ze maar weinig tijd geeft om te fixen :)
Hij doet alles om zijn epeen groot genoeg te krijgen :)
Van de 50 lekken die ik gemeld heb bij verschillende instanties van overheid tot 5k+ werknemers, er is altijd goed gereageerd. Als jij gewoon duidelijk maakt dat jij een lek gevonden heb en hun de impact / risico aangeeft van dat lek waarbij je een kleine PoC geeft doen ze vaak niet moeilijk.
Kijk bijvoorbeeld bij een xss is een "> al genoeg om de sequence te breken je hoeft niet een hele iframe met stealer te implementeren. Same for SQLi en RCE/LFI
Je moet enkel de juiste ingangen weten zoals cert@ csirt@ abuse@ of desnoods noc@
Door de manier waarop brenno publiceert krijgen alle etische mensen gezeik.
Hij doet alles om zijn epeen groot genoeg te krijgen :)
Van de 50 lekken die ik gemeld heb bij verschillende instanties van overheid tot 5k+ werknemers, er is altijd goed gereageerd. Als jij gewoon duidelijk maakt dat jij een lek gevonden heb en hun de impact / risico aangeeft van dat lek waarbij je een kleine PoC geeft doen ze vaak niet moeilijk.
Kijk bijvoorbeeld bij een xss is een "> al genoeg om de sequence te breken je hoeft niet een hele iframe met stealer te implementeren. Same for SQLi en RCE/LFI
Je moet enkel de juiste ingangen weten zoals cert@ csirt@ abuse@ of desnoods noc@
Door de manier waarop brenno publiceert krijgen alle etische mensen gezeik.
van een steen door mijn voorruit to dreigementen dat als ik met het verhaal naar de media zou gaan ik de rest van mijn leven in de rechtbank zou zitten.
Of dat de beheerder van het ene ministerie je belt dat ik beter 'een pas op de plaat' kan doen omdat een ander ministerie probeerd me er voor te laten vervolgen; als ik de minister daar niet op had aangeschreven adn hadden ze dat gedaan.
zo heb ik nog wel een tiental voorbeelden die een hele goede rede zijn om het niet te doen
Greetingz,
Jacco
Of dat de beheerder van het ene ministerie je belt dat ik beter 'een pas op de plaat' kan doen omdat een ander ministerie probeerd me er voor te laten vervolgen; als ik de minister daar niet op had aangeschreven adn hadden ze dat gedaan.
zo heb ik nog wel een tiental voorbeelden die een hele goede rede zijn om het niet te doen
Greetingz,
Jacco
01-03-2012, 17:23 door
SirDice
Door Anoniem: van een steen door mijn voorruit to dreigementen dat als ik met het verhaal naar de media zou gaan ik de rest van mijn leven in de rechtbank zou zitten.
Of dat de beheerder van het ene ministerie je belt dat ik beter 'een pas op de plaat' kan doen omdat een ander ministerie probeerd me er voor te laten vervolgen; als ik de minister daar niet op had aangeschreven adn hadden ze dat gedaan.
zo heb ik nog wel een tiental voorbeelden die een hele goede rede zijn om het niet te doen
Ik denk dat het toch vooral te maken heeft met de manier van brengen. Als je zelf dreigementen uit (door bijvoorbeeld te stellen dat je de 'gevonden' data openbaart als er niets gebeurd) zet je vaak kwaad bloed.Of dat de beheerder van het ene ministerie je belt dat ik beter 'een pas op de plaat' kan doen omdat een ander ministerie probeerd me er voor te laten vervolgen; als ik de minister daar niet op had aangeschreven adn hadden ze dat gedaan.
zo heb ik nog wel een tiental voorbeelden die een hele goede rede zijn om het niet te doen
Gewoon puur en alleen het probleem benoemen en een (mogelijke) oplossing geven. Meer niet.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.