Nieuws
image

Site AIVD bevat beveiligingsfoutjes

donderdag 30 mei 2002, 14:37 door Redactie, 7 reacties

De site van de AIVD, de voormalige Binnenlandse Veiligheidsdienst (BVD) is niet goed beveiligd. Zo is er Cross Site Scripting (XSS) mogelijk. Het is niet bekend of deze ook uitgebuit kan worden om informatie van derden te onderschappen. Een ander probleem is dat als men de URL van een pagina van de site enigzins wijzigt er een foutmelding verschijnt waarin een groot aantal interne gegevens over de site en de webserver getoond worden, waaronder het dokumentpad. Ook kunnen een aantal door de scripts waarvan de site gebruik maak gebruikte variabelen naar eigen inzicht worden ingevoerd, hetgeen een potentieel beveiligingsprobleem oplevert. Het is vreemd dat de AIVD, die in haar jaarverslag 2001 pleit voor het gebruik van Open Source, gebruik maakt van de Microsoft IIS server.

Reacties (7)
30-05-2002, 15:36 door Anoniem
"Ook kunnen een aantal door de scripts waarvan de site gebruik maak gebruikte variabelen naar eigen inzicht worden ingevoerd, hetgeen een potentieel beveiligingsprobleem oplevert."

volgende keer ook:

http://www.whitehouse.gov bevat beveiligings lekken

"ook is het mogelijk om naar eigen inzicht een url in te voeren, een potentieel beveiligings probleem"

Geen enkele info in de stuk, zoals bijvoorbeeld de bron, het soort scripts (forum, mail: lijkt me logisch dat je dan data naar eigen inzicht kan toevoegen) terwijl dit bijvoorbeeld voor een deel van dynamic content anders zou kunnen zijn.


Cross Site Scripting .. tja .. gelukkig zegt het artikel er direct bij dat het niet bekend is of het uitgebuit kan worden, natuurlijk kan dit, de vraag is of er nuttige informatie bij zit, die specifiek voor deze site is, op geen enkele manier wordt deze vraag beantwoord
30-05-2002, 16:25 door Anoniem
klpd site is ook xss vuln en dit kan uitgebuit worden
-R
30-05-2002, 20:00 door [Account Verwijderd]
[Verwijderd]
30-05-2002, 20:11 door [Account Verwijderd]
[Verwijderd]
30-05-2002, 22:10 door Anoniem
Originally posted by NielsT
http://www.minbzk.nl trouwens ook, zelfde mechanisme.

hmtsjah, je bent best wel een ongelofelijke sukkel als je door xss paswoorden worden ontvreemd.

:) Zie het eigenlijk ook niet zo als een big time security threat. Veel sites zijn namelijk xss vulnerable.
30-05-2002, 22:11 door pierpanda
De CIA is bereikbaar via e-mail,
De FBI is bereikbaar via e-mail,
De AIVD is niet bereikbaar via e-mail. Reden: men kan dan volgens de AIVD "meelezen". Nooit gehoord van versleuteling AIVD? Nooit gehoord van SSL? Foei toch!

Als dit niet eens beheerst wordt, wat zal dan nog meer worden gevonden...


Pierpanda.
31-05-2002, 10:48 door Anoniem
Originally posted by pierpanda
De CIA is bereikbaar via e-mail,
De FBI is bereikbaar via e-mail,
De AIVD is niet bereikbaar via e-mail. Reden: men kan dan volgens de AIVD "meelezen". Nooit gehoord van versleuteling AIVD? Nooit gehoord van SSL? Foei toch!

Als dit niet eens beheerst wordt, wat zal dan nog meer worden gevonden...


Pierpanda.

In ieder geval begrijpt deze AIVD beter dan jij dat 1) meeste methodes van versleuteling vrij gemakkelijk zelfs te kraken zijn (o0o0o0o MS SQL -OLAP kan toch zo lekker werken) en 2) SSL is leuk maar alles behalve waterdicht. plus 3) eenq qoutje
Hmmm... nogal lage nieuwswaarde, zowat elke grote site bevat wel een xss vulnerability.
jij begrijpt dus echt helemaal niet waarom een computer een computer heet en hoe "hacken" ook voor een heel groot deel zelfs van het ene in het andere door het ene komen is. (gedeelde kennisplatform basis altijd kijk maar naar dcom) het dus helemaal niet die ene xss vuln of die paar waardes die je kunt veranderen die het verschrikkelijk lol gevaarlijk maken.. het is meer dat je via via zo'n bugje best misselijk kunt misbruiken. de simpelste voorbeeld: via argeloze bezoekers of via doorgekoppelde waardes. en dat is dan dus maar een van de duizenden uitgangen van zon bugje. have phun joo :P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search