Blijkbaar heeft een of ander developer een leuke berichtjes achter gelaten als je Javascript niet aan hebt staan. Neem het is niet zo persoonlijk. Als mensen weten hoe hun in de instellingen van de browser javascript uit kunnen zetten weten hun ook echt wel wat dat inhoud (;

Stukje code dat dit toont is bijna kunst.


Wat weerhoud je ervan gewoon even Lidl op twitter te tippen dat dit niet handig is?

LIDL site gebruikt een symbool dat lijkt op bord J37 "Gevaar" (RVV)
Fris vind ik het evenmin. Normvervaging op zijn minst.
Hier wordt een foute trend gezet.
Garantie dat dit zich als een olievlek gaat verspreiden:
JA!
Gevolg: nog meer ruis en zomp op het WWW. (Digitale modderlaarzen verplicht!)

Foei LIDL!

De Lidl website kan nog wel wat verbeteringen gebruiken, maar dat even terzijde.

Afvoerbare jQuery code, opgespoord via Retire.js:
jquery 2.1.4 Found in https://www.lidl.nl/statics/lidl-offering_3x/global/v26/scripts/Common.js?svi=3.21
Vulnerability info:
Medium 2432 3rd party CORS request may execute CVE-2015-9251
Medium CVE-2015-9251 11974 parseHTML() executes scripts in event handlers
Medium CVE-2019-11358 jQuery before 3.4.0, as used in Drupal, Backdrop CMS, and other products, mishandles jQuery.extend(true, {}, ...) because of Object.prototype pollution

Geen veilige connectie: Website is insecure by default
100% of the trackers on this site could be protecting you from NSA snooping. Tell -lidl.nl to fix it.

Identifiers | All Trackers
Insecure Identifiers
Unique IDs about your web browsing habits have been insecurely sent to third parties.

sid=3e6f6e137d86XXXXXX63217cfd6a2f Microsoft _ss

Tracking van lidl.media01 dot eu, wellicht blokkeer je dat met uMatrix bijvoorbeeld (cookie is maar liefst 730 dagen geldig).
-> https://www.easycounter.com/report/lidl.media01.eu

Zie verder het cookie & security rapport hier: https://webcookies.org/cookies/www.lidl.nl/28043268?272372

Achtergrond voor hun cryptische boodschap (zo denk ik i.m.h.o.): This cookie can be read by client-side JavaScript which might increase chances of stealing it in case of a successful Cross-Side Scripting attack. It's recommended that cookies storing authentication-related session token are protected by the flag.

Trouwens ook wordt bing dot com api/map niet geladen met een goede script blokker.

En de kers op de taart deze cookie fingerprinting: %7B%22cookie%22%3A%220FFDCBXXXXXXXXXXXXXXXXXB680E299BBD%22%2C%22dt_tm_res_link%22%3A%22https%3A%2F%2Flidl.media01.eu%2Ftm_response.aspx%3Ftrackid%3D71BB9XXXXXXXXXXXXXXX45A1DE29C66FB9F%26mode%3D2%22%2C%22jsvariables%22%3A%22%22%2C%22dt_sessionid%22%3A%22k2kjkr503rsti43b3dcsekhu%22%2C%22dt_JSFingerprint%22%3A%220%22%2C%22isEngShp%22%3Afalse%2C%22dt_uniqueIdentifier%22%3A%2214cd3af1-bc15-4fc5-836e-d341082c10ad%22%2C%22dt_onsitecookie%22%3A%220FFDXXXXXXXXXXXXXXXXXXXX0E299BBD%22%2C%22cookieexist%22%3A%22False%22%2C%22dt_targetContainer%22%3A%22%22%2C%22dynadrno%22%3A%22%22%2C%22dt_dynoptout%22%3A%220%22%2C%22dt_trackDomain%22%3A%22https%3A%2F%2Flidl.media01.eu%22%7D"

(De XXXX breaks zijn door mij gedaan, luntrus, voor mijn eigen broodnodige privacy)

CDN voor lidl = Akamai: https://toolbar.netcraft.com/site_report?url=https://www.lidl.nl/nl/index.htm
Nog geen SSL versie 3 geimplementeerd.

Bedankt voor je posting, starter hierboven, anders hadden we dit niet zo geanalyseerd en geweten.
Oplettend van je, jij komt er wel in de IT contreien.;)
Tracking "uit onze sokken" gaat dus onverdroten door en voor iedereen. online.

luntrus (website security foutenjager)

Klinkt eigenlijk best goed.
Leg eens uit?

Het zit er dik in dat de opdrachtgevers bij Lidl niet of nauwelijks rekening hebben gehouden met bezoekers die JavaScript uit hebben staan en dat en ontwikkelaar die daar wel rekening mee hield, of misschien de ontwikkelaar van een framework dat daarbij gebruikt is, een leuk symbooltje voor "attentie!" zocht en uitkwam op een driehoekje met een uitroepteken erin. Dat is namelijk wat ik zie. Ik krijg "danger" pas te zien als ik in de broncode ga kijken. Het is inderdaad voor het bijbehorende title-element gebruikt, maar wie weet is zelfs dat erin geslopen door een stuk code te kopiëren zonder goed op te letten en er nooit meer beter naar te kijken omdat andere aspecten van de website alle aandacht vroegen. En het zit er dik in dat bij het beoordelen van de website niemand van de opdrachtgever dit zelfs maar is tegengekomen of heeft beseft dat dit iets was waar je ook nog op kon letten.

De opdrachtgever zal gericht zijn geweest op hoe ze bedacht hebben dat de site moet werken, niet op allerlei uitzonderingen daarop. De ontwikkelaars zullen maar deels gericht zijn geweest op de uitzonderingen, die staan onder tijdsdruk en zijn daarom ook primair bezig met hoe dingen wel moeten werken en minder met hoe dingen in allerlei uitzonderingsgevallen niet moeten werken. Zoiets als dit slipt er dan makkelijk tussendoor. Dit is niet bewust zo bedoeld, het is niet kwaadaardig bedoeld, het is een van die vele knulligheden waar websites en allerlei automatiseringsprojecten vol mee zitten.

Dat ik het verklaarbaar vind wil niet zeggen dat ik blij ben met het resultaat. Als dit soort dingen net ergens anders in een systeem speelt heb je een beveiligingslek, en ook dat gebeurt maar al te makkelijk. De lastige situatie waarin we zitten is dat er altijd een enorme druk is om dingen goedkoper te doen, er altijd marktpartijen zijn die ook bereid zijn het goedkoper te doen, en dat er tegelijk een enorme druk is om alles van zoveel mogelijk gelikte toeters en bellen te voorzien, en er marktpartijen zijn die dat gretig verkopen. Het resultaat is dat er maar al te vaak meer wordt gedaan dan men eigenlijk op een degelijke manier aankan. En dan krijg je dit. En erger.

Het gevaar is dat ze kennelijk zonder Javascript hun online klanten niet meer (her)kennen. Triest.
Voor de grap zouden we allemaal als flashmob in boerka of motorpak inclusief integraalhelm een LIDL-winkel binnen moeten lopen, zodat ze ook hun gewone klanten niet kunnen herkennen.

Ik ben voor.

@ anoniem van 10:26
Ik wil je dit graag nader uitleggen. Gevraagd wordt je alleen maar goed te lezen, wat ik aanhaal (=Engels/Amerikaans rapportje van Tracker SSL, een extensie voor chromium en firefox browsers).

Is dus in feite helemaal niet zo goed. Dit is een alert van de Tracker SSL extensie in de browser, die niet groen uitslaat,
maar 100% rood en ons vervolgens vertelt dat er geen veilige verbinding is en de website onveilig is per default.


Geen F-graad status, maar B- status: https://observatory.mozilla.org/analyze/www.lidl.nl
I-graad status hier: https://observatory.mozilla.org/analyze/www.lidl.nl#tls (er is een nieuwe veiliger TLS versie).

Gebruikte technieken zijn:
JavaScript Framework
React
RequireJS2.1.22
Font Script
Google Font API
Tag Manager
Google Tag Manager
JavaScript Libraries
jQuery2.1.4

Zie ook https://toolbar.netcraft.com/site_report?url=https://www.lidl.nl
& bij de hoster Akamai: https://www.shodan.io/host/104.103.123.142

Het kan dus allemaal wel even een tandje beter voor het "geheim wat je deelt met Lidl".;)
Grapje, want je moet natuurlijk nooit een geheim delen met het internet, die hou je voor jezelf.

luntrus

Bedankt voor je reactie luntrus, alleen:
zou ik met mijn doorgewinterde huis-tuin-en-keuken-engels toch echt vertalen met:

"alle trackers zouden je kunnen beschermen("protecting"!!!) tegen afluisteren door de NSA. Ga lidl.nl maar vertellen om dit te verhelpen"...

en dit klinkt mij behoorlijk vreemd in de oren.
Ik weet niet of dit misschien een schrijffout is in je gebruikte testapplicatie?
Zo ja, dan is het minstens zo erg als "danger".

En anders sluit ik niet uit dat ik zelf misschien een interpretatiefout maak, maar dan wil ik wel graag precies weten welke. ;>)

Beste anoniem van 13:25,

Ja het gaat erom dat verkeer van trackers verzonden wordt via veilige(r) methoden.
Je begrijpt wellicht ook, dat Lidl website die trackers veilig of onveilig kan laten tracken op hun website.

Ze kozen voor bing.com, googletagmanager.com en media01.eu (lidl.media01.eu) als trackers voor hen.

Het gaat dus om de connectie, waar NSA in dat geval geen misbruik van kan gaan maken voor hun "snooping"
van wat er tussen website en client "getrackt" wordt. Anders moeten ze bij google aankloppen voor data (aankoop),
en dat gebeurt soms wel eens, zelfs "under gag order" en soms is de rechter daar voor nodig.

Zoals je begrijpt is "mee-piggy-back-en" via onveiliger verbindingen gemakkelijker.
Alleen Dik Trom deed het andersom.

Vandaar dat je de surveillance bezwaren van de snooper-instanties tegen full encryptie nu beter doorziet.
Veiligheidsdiensten hebben een hekelaan te ver doorgevoerde veiligheid en het ontdekken van backdoor zero-days.

Kaspersky lab ophef recentelijk verklaard, maar dat kwam via een van een NSA eigen onderaannemer medewerker,
die lekte. Altijd weer eerst wijzen naar een ander, nooit toegeven dat je zelf iets verkeerd deed.;)

Is het veilig, dan lees je voor veilige via security.nl bijvoorbeeld:
(XXXXX en wXw van mij - luntrus)

Heb je networking al gehad en doorgewerkt, begrijp je e.e.a. beter.
Veel mensen denken dat https betekent dat een website veilig(er) is.
Neen hoor, het slaat alleen op een veiliger verbinding tussen website en webserver of vaak een aparte ad-server.
Leuk wordt het met discrepanties tussen webserver en adserver. Er is nogal wat werk aan de webwinkel dus.

Daarom was dat "groene slotje" verhaal een beetje zeer kort door de bocht,
maar bestemd voor de niet zo Internet-savvy Jip en Jannekes in den lande.
Let op het groene slotje, is mijn verbinding wel veilig? Mwa, kon iets veiliger dus.

Zie wat de gevaren zijn op de lidl website: https://webscan.upguard.com/#/www.lidl.nl
SSL niet aanwezig, dus mogelijke MiM aanvallen.
HSTS niet doorgezet, dus mogelijke MiM aanvallen.
Domain niet transfer gelockt, dus risico dat de website kan worden gehackt.
DNSSEC niet ingesteld, dus kwetsbaarheid voor MiM aanvallen (MiM = man in the middle).

Een website kan ook nog "cloaken", dat betekent verschillende code aanbieden aan Google dan aan Googlebot.
Slechte zaak in dat geval. Daar is in het geval van Lidl website geen sprake,
status code gelijk voor Google en Googlebot, geen spamachtig uitziende linkies,
geen verdachte iframes, en geen blacklist vermeldingen. Basis security = minimaal, maar OK.

Heb je de principes hierachter eenmaal begrepen, wordt de vertaling ook wat duidelijker.

"Scan om te leren, leer om te weten en slagen zal je loon zijn".

luntrus

Tegen. Volledig bedekkende kleding is in Nederland verboden behalve wanneer het noodzakelijk is voor het veilig uitvoeren van bepaalde werkzaamheden, zoals bv. een imker.

Let op, dit gaat over SSL, niet over TLS. In dit geval is het juist goed dat de website geen SSLv3 implementeert!

De spraakverwarring tussen Anoniem van 29 juli 23.30 en de reactie daar op van 30 juli 10:26 zit hem in de Engelstalige bevindingen van retire.js.

lidl.nl geeft blijkbaar als bevinding "Website is insecure by default. 100% of the trackers on this site could be protecting you from NSA snooping. Tell -lidl.nl to fix it." 100% van hun trackers HADDEN je kunnen beschermen, (maar ze doen dat niet vanwege slecht of onhandig programmeerwerk). Anoniem van 10.26 meende denk ik te lezen: het lijkt er op dat 100% van de gebruikte trackers je beschermt tegen snooping door de NSA. Dat kan in het Engels inderdaad dezelfde zin zijn, maar met een vrijwel tegengestelde betekenis.

Zet het maar naast de bevinding voor security.nl: "This website is secured. 100% of the trackers on this site are helping protect you from NSA snooping". Hier helpt 100% van de trackers je daadwerkelijk tegen snooping door de NSA, door prima programmeerwerk.

Volgens mij begrijp jij het ook nog niet helemaal, luntrus. ;)

Okee ik zie het: "men zou beschermd kunnen zijn" (= conditional present), namelijk als men het bij lidl beter zou beveiligen. Duidelijk. thanx!
Maar ik blijf het verwarrend taalgebruik vinden. Waarom hebben ze het niet zo geformuleerd:
Lijkt me een stuk duidelijker en logischer. ( ==> "Tell the tool-maker to fix it.")

Luntrus ook bedankt, alleen ging me er niet onmiddellijk een licht bij op,
misschien mede vanwege de vele andere details.

En dit klopt absoluut niet:
De website gebruikt namelijk TLS! (zie ook reactie 00:05)

Voor wat betreft :
Wat bedoel je hier precies mee?

U hebt gelijk.
Het verschijnen van het woord "danger" wordt veroorzaakt door nog een andere browser-hardening feature genaamd
svg.disabled = true
Het driehoekige symbool met uitroepteken is namelijk een .svg -element (Scalable Vector Graphics).
Dus als svg "uit" staat in de browser, kan de browser het driehoekig waarschuwingssymbool niet meer weergegeven.
In plaats daarvan verschijnt er dan de tekst 'danger'.

Het zou beter zijn wanneer de ontwikkelaar er - Attentie - van maakt i.p.v. - danger -.
Heel simpel, en dan hoeven bezoekers die hun browser extra hebben beveiligd hier niet meer over te vallen.

@ anoniem van 13:31,

Ik ben het met je eens, dat de tekst niet echt "the Queen's English" bevat.
Met mijn linguïstische achtergrond vind ik dit ook wel wat "gewrongen" Engels.

De extensie developer is waarschijnlijk geen "UK or USA native speaker" geweest.
Ik denk eerder iemand uit Toronto. Misschien gebruiken Canadezen eerder de "conditional present". (?????).
Maar buiten dat het kan leiden tot spraakverwarringen (excuses daarvoor),
mag het niet wegvoeren van de IT implicaties van de lidl.nl webstek.

Mij gaat het dan in de eerste plaats om hetgeen waarvoor Tracker SSL waarschuwt.

HSTS staat voor "HTTP strict transport security" can help to protect from cookie hijacking,
protocol downgrade vulnerabilities.

Checken erop kan met https://tools.geekflare.com/hsts-test
www.lidl.nl heeft deze beveiligingsheader -> https://www.lidl.nl/nl/index.htm
Jul 31, 2019 2:08:33 PM UTC
Great! HSTS header was found
in the HTTP response headers as highlight below.

Maar bij upGuard krijg ik: HTTP Strict Transport Security (HSTS) not enforced
Without HSTS enforced, people browsing this site are more susceptible
to man-in-the-middle attacks. The server should be configured to support HSTS
Expected [header set]
Found [not set]

Recx daarentegen geeft: Help Icon
Click the icons in the tables below for a more detailed explanation (bij de extensie).

HTTP security headers Name strict-transport-security max-age=31536000
The HTTP content-security-policy header is not set.

Page meta security headers not set & form autocomplete settings not secure.

@ anoniem van 13:19 heden.

Vreemd die bedreigingsverschillen tussen UpGuard,
dat toch wel vertrouwen zou moeten inboezemen
met de opsomming en de bevindingen van het Engelse Recx Security Analyser v.1.3.0.4

Misschien moet ik even wachten op het eindoordeel van Bitwiper hier, de echte expert op dit vlak.
Hij is meer de certificaat- en security header-expert bij uitstek
en mijn insteek is meer website JavaScript en jQuery error-hunting.

Maar het blijft interessante materie om uit te diepen
(met welliswaar wat hulp en addities hier en daar).

De mens die toegeeft dat ie niet alles kan weten is een wijs mens i.m.h.o.
Degene, die denkt dat ie alles weet en daar ook nog prat op wil gaan,
weet meestal niet zo heel veel.
Meestal is goedkoop puntjes scoren zijn of haar doel.

Nu nog de UpGuard RECX oppositie verklaard krijgen
en dan zijn we weer iets verder gekomen.
Wie oh wie helpt mij aan de juiste insteek? Kom op g**ks?

luntrus (3rd party cold reconnaissance website foutenjager)

De lidl website heeft gewoon hsts.
Ze bedoelen vermoedelijk dat deze website niet in de hsts preload lijst staat.
Zonder vermelding in de hsts preloadlijst wordt hsts pas actief nadat(!!!) je de site een eerste keer hebt bezocht.
(en daarna onthoudt de browser dit een beperkte tijd, meestal maar niet altijd ca. een jaar)

Het allereerste bezoek en een volgend bezoek na zeer lange tijd heeft dus hetzelfde risico als zonder hsts, tenzij...
... de houder van de website actie heeft genomen om de website in de preloadlijst te zetten!
Want de preloadlijst komt "hard" in de eerstvolgende nieuwe versie van de browser terecht.
(dus de bezoeker moet ook nog een trouw zijn browser updates doen, anders helpt het nog niks)
De browser heeft er dan bij voorbaat al kennis van of een website hsts heeft,
en controleert deze in dit geval meteen al bij het allereerste bezoek.
Er is echter maar een betrekkelijk klein aantal websites dat gebruik maakt van deze extra security-mogelijkheid.

@ anoniem van 17:00,

Fijne reactie van een ter zake kundige.
Dank voor je verduidelijking en expertise.
Zo levert zo'n "draadje" weer wat extra kennis op.
Heel mooi. Zo groeien we in inzicht door "op elkanders schouders te staan".

Zo horen topics zich te ontwikkelen en dan hebben velen er wat aan,
Daar heb ik ook weer wat van opgestoken.
HSTS is wel een goede ontwikkeling overigens.

luntrus

@ luntrus:

https://hstspreload.org/ legt uit hoe een website kan worden toegevoegd aan de preloadlijst.
Het balletje gaat rollen als de systeembeheerder/ontwerper de aangegeven aanpassingen maakt in de website.

Er zit trouwens op dit moment nóg een schoonheidssfoutje in (lidl.nl)
Want er wordt ook een hsts header meegestuurd als men connectie probeert te maken d.m.v. http://lidl.nl.
Dit heeft geen effect in geval van http. Tamelijk onzinnig.

Hoe beter en foutlozer een websitecode eruit ziet, des te vertrouwenwekkender komt het over.

Alleen zullen leken zich hier niet druk over maken, want die worden er toch geen wijs uit.
En leken zijn nu nog in ruime meerderheid.
Het gevolg is gebrek aan kritiek, en hierdoor op het web minder security dan mogelijk is.

Daarom zien we uit naar de dag dat iedereen security profeteert,
en iedereen mede daardoor overal van maximale security kan profiteren.
"I have a dream"!
(ho...... stop, nou begin ik geloof ik sentimenteel te worden...)

@ anoniem van 15:39

Good to know I share that dream of yours, and I hope quite a few others also.

luntrus

L.S.

Tussen twee haakjes, ik vind als ik het zo beschouw de lidl.nl website helemaal niet zo slecht in security opzicht,
steekt beslist gunstig uit t.o.v. de middenmoters en is noch direct potentieel kwetsbaar noch kwaadaardig.
Google Safe Browsing: Clean (Current Verdict).

Nog een verduidelijkend scan linkje dan met 169 HTTP transacties op www dot lidl dot nl:
https://urlscan.io/result/2e76a49f-791e-4aa3-a828-b12d37b1e84b#transactions

Verschillende HTTP transacties staan bij mij als ADBLOCKED aangeduid (ik draai een adblocker).
Het merendeel daarvan zou bij HETZNER in Duitsland kunnen hebben beland,
als ze niet geblokkeerd zouden zijn of bij Google LLC ook voor Google Duitsland in dit geval.
De Bing links gaan uiteraard naar Microsoft Corporation in de USA.

Lidl is dus al met name in dit opzicht een ware multinational.

Let ook op het lijstje met mislukte (failed) requests. Niets is derhalve volmaakt, waarvan akte.

For what it is worth, enjoy my friends, enjoy,

luntrus

Luntrus,

Ik heb interesse in website foutenjagen met Retire.js en uMatrix. Het lijkt me een leuke hobbie om mijn tijd mee te slijten (en misschien levert het nog wat op voor een partij of mezelf? Zo ben ik ook een beetje retired. Leuk werk met een goede bak koffie erbij, ik ben zelf immers ook 'retired' maar dan in de WAO).

Heb jij een opsomming van tools en websites (ik heb er al een paar) voor mij zodat ik aan de slag kan na de zwoele zomer? Helaas geen airco hier.

Dank alvast

Waar komt dit oorspronkelijk vandaan want volgens mij is dit een template gekopieerd van een andere site (het stukje JS)?

De NSA mag snoopen als het daarbij blijft en ze niet mijn verbinding saboteren automatisch danwel handmatig. Controleren of ik me gedraag mag altijd zolang mijn vrijheid niet in het geding is :) Anders kun je netzogoed het internet afsluiten.

Ik ga er vanuit dat op internet iedereen meekijkt. Bewustzijn van de nieuwe tijdsgeest.

Handig , Thx! Ik ga zelf (stiekem en prive) me bezighouden met 3rd party cold website recon over een tijdje. Met een bak koffie erbij wat serieuze skills leren. De term heb ik van iemand hier gekopieerd. Als er nog andere sites zijn waar fouten te vinden zijn plaats ze gerust op deze community. Van fouten valt immers te leren.

@ anoniem van 04:01 en 04:59

Leuke hobby for "After Eight". Hoofdregel bezoek nooit de potentieel kwetsbare site zelf. Je komt dan zonder expliciete schriftelijke toestemming van de webadmin of site-eigenaar in de problemen. Op verzoek veelal minder een punt, toch nooit direct de site in kwestie benaderen, zodat je scans herleidbaar zijn, maar je bent ook geen white hacker, dus vindt de gulden middenweg. Defacement hack overzichten, urlquery dot net scans allemaal OK als basismateriaal. En dan combineren, deduceren, valideren, vasthoudendheid en houden van zich vastbijten in, is een pre. Zeer lichte autisten hebben hier voorsprong vooral als ze onconventionele relaties kunnen leggen tussen diverse scanresultaten.

Oh, malzilla_original malware browser van Bobby, een beauty, zelf getweaked, 100% sandboxed en met script evaluatie.

Dat is de essentie van 3rd party cold recon website scanning. (Je maakt alleen gebruik van scanresultaten van 3rd parties, de site owner had dat ook kunnen doen, maar is er meestal of te lui of te slordig of te incompetent voor).

Shodannetje op IP & dazzlepodje op IP (je mag de resultaten alleen niet online delen en zeker niet tegen een bepaalde site gebruiken (dat is strafbaar en tegen de dazzlepod regels (nmap), https://urlscan.io/, https://aw-snap.info/ van Redleg.. Via aw snap fileviewer als txt file de sourcode inladen en bewaren als scan.html en vervolgens scannen met VT.
Je toolchest is even groot als je fantasie. ;) Cloudscannen, webserver en adserver scannen, tracker tracker scans,
cookie checkers en Mozilla Observatory scans. Er is zoveel, ja er is zoveel. Maar heb een goede ondergrond van javascript kwetsbaarheden en php gerelateerde ellende. Scan WordPress met online scanners van hackertarget dot com, magereport voor Magenta webshops (Willem de G. ontwikkelde dit goud).

Linten met webhint, bedreigingen vinden via UpGuard scan. Sucuri en Quttera website scans, Netcraft, developer tools in de browser, DOM-XSS scans voor sources en sinks, https://retire.insecurity.today van Oftedal, JavaScript beautifiers, PHP de-obfuscators. GreyNoise Intelligence voor de criminele cyberbots, Maltiverse voor de analyses.

Er verdwijnen ook soms hele fijne scanners of ze gaan door populariteit over de kop, deel je bronnen dan zo weinig mogelijk. Bepaalde online javascript scanners mis ik nu nog. Clean-MX is door aanvallen door cybercriminelen lam gelegd
en je moet nu een account nemen.

Er is wel even wat ervaring nodig om een goede gekwalificeerde 3rd party cold recon scanner en foutenjager te worden. Maar ja de gemiddelde website developer heeft de tijd niet om te linten en te fuzzen en alles door te lichten. Tijddruk, anders krijgt ie helemaal niets betaald. Op den duur herken je zo zaken aan de namen, oh weer iets met main.PHP, waar heb ik dat eerder gezien enz. enz. Oh, weer een gevalletje cloaking via isithacked scan gevonden, waar googlebot en goggles verschillende code aangeboden krijgt, 0 0 0 iframes, vaak kwaadaardig, spammy links, phishing, gevaarlijke domeinen ls * ga, * su met veel cybercrime erop. Sinkhole expertise heb ik ook, van de beste op dit terrein online opgeleid.

Soms gaan web-admins direct in denial mode en worden onaangenaam, ze noemen gebruikte scans en tooltjes crap. Hij is bang dat zijn baas zijn broddelwerk gewaar wordt. Als je zegt voornamelijk on demand je skills ontwikkelen en lezen, lezen en inlezen.

Weet dat er bepaalde standaard wachtwoorden zijn bij java enz. Denk niet dat het je allemaal komt aanwaaien.
Oefening baart kunst zogezegd en probeer altijd de community vooruit te helpen. Ik ben een f.r.a.v.i.a. en Woodman adept
(searchlore experts en resource tweakers).

#sockpuppet

Nog een leuk overzichtje, dit keer aangaande Lidl Kroatië:

https://w3.tools/overview/lidl.hr
Retire js vindt
jquery 2.1.4 Found in https://www.lidl.hr/statics/lidl-offering_3x/global/v26/scripts/Common.js?svi=3.21
Vulnerability info:
Medium 2432 3rd party CORS request may execute CVE-2015-9251
Medium CVE-2015-9251 11974 parseHTML() executes scripts in event handlers
Medium CVE-2019-11358 jQuery before 3.4.0, as used in Drupal, Backdrop CMS, and other products, mishandles jQuery.extend(true, {}, ...) because of Object.prototype pollution

Hosting in USA bij Akamai: https://www.shodan.io/host/23.5.229.39
Het laden van de pagina ging wat sneller als ze in Kroatië werd gehost i.p.v. de USA.

Tips
Aanbevolen - script minifying. Compacting JavaScript code can save many bytes of data and speed up downloading, parsing, and execution time. (bron w3 tools SEO rapport).

Trouwens voor het bovenstaande scriptje is er al een abuse melding
(ik bedoel het scriptje in de posting van anoniem van 29-07 om 22:01 met "hint hint--spaced hint--danger")

Volgens mij zijn er partijen, die niet zo tuk zijn op wat voortgezette transparentie ;)

luntrus

Dank u luntrus! Tegenhangers van minify zijn online te vinden, die maken javascript overzichtelijk zoals een soort Lint.

Het is lang geleden allemaal HTML "coden" maar leuk voor after 8 als het hoofd leeg is (en dan opvallen met nuttige dingen).

Ik was gister nog bij de LIDL op de site en was geen gevaar over aanbiedingen. Deze berichten zijn bedoeld om verwarring te zaaien over irrelevante kleine zaken en misschien bedoeld om een bedrijf (LIDL) af te kraken?

Kom eens met wat tastbaars en verifieerbaars want 9 van de 10 websites die je bekijkt in de bron hebben wel ergens een stomme fout. De meeste websites zitten vol met junk HTML junk CSS en JUNK CODE vaak Gefabriceerd door nietszeggende doelloze WYSIWIG editors die alles behalve compliant zijn met de industrie standaarden- en normen.


Wat heeft dit met IT te maken? Niets...het is gewoon vergezochte clowneske conspiracy gezwam zoals wel vaker op dit forum te vinden is.


Ook dit heeft niets te maken met enig inhoudelijke HTML/JavaScript kwesties te maken. Dikke vette Ignore.


My 2 cents

/r

Beste Anoniem,

Gaat het je om de inhoud van deze website of de correcte semantiek of compliance van code of wil je iets anders zeggen?

Want dat laatste is dan heel erg onduidelijk.

Je hebt wel gelijk met je laatste alinea. Als iedereen danger gaat roepen dan letten de serieuze mensen in de security niet meer op wanneer er echt iets is.

Dit heet desensitization. In de psychologie is desensitization het afzwakken van een (emotional) responsiveness (re-) actie op een negatieve, aversieve of juist positieve stimulus door repetitie en herhaaldelijke exposure.

Dit is relevante info voor security mensen want het kan leiden tot een psychologische "hack" bij politiepersoneel of overheidsdiensten of de bewaker van bewaakte parkeerplaatsen in het centrum die niet meer oplet "het zal wel weer niks zijn".

Alle security personeel kan uiteindelijk geconditioneerd worden om bepaalde signalen te negeren. Het brein werkt immers op signalen. Het menselijke brein wordt (aan) gestuurd door Signalen meer dan men bewust is. Denk aan een Stoplicht.

Ja eigenlijk wil ik gewoon even heel hard BLÈÈÈÈÈÈÈH zeggen, maar daar schiet ik niks mee op.
Dus in een poging om je vraag te beantwoorden:

Wat is het nut van "danger" op je scherm terwijl er helemaal geen danger blijkt te zijn?
Als je "danger" ziet staan, gaat iedereen met een gezonde onderzoeksmentatilteit denken:
goh, wat zou er aan de hand zijn?
Om na een paar kwartier ijverig zoeken tot de conclusie te komen:
"Nâh, eigenlijk niks van betekenis. De site kan er naar huidige maatstaven best mee door.
Alleen verdikkeme wel een verkeerde indruk op de mouw laten spelden met dat "danger" (= gevaar).

Dus Lidl, ik koop graag bij je, maar loop een eind heen met je danger. Haal het weg of maak er "Attentie" van.
Dan hoeven professionele en amateurzoekers hun tijd niet te verspillen aan wat er zogenaamd "danger" zou zijn.

Bovendien zijn valse waarschuwingen gevaarlijk.
Net als na een aantal keren belletje trekken de meeste mensen niet meer naar de deur gaan terwijl ze denken "het zal wel weer niets zijn, want de vorige keren was er ook niemand." En wat denk je? Blijkt het die keer toevallig net je vrouw of je schoonmoeder te zijn die jij voor de dichte deur laat staan. Nou reken maar dat zoiets gevaarlijk is!

Zo een beetje duidelijker, Anoniem 15:58?

De webmaster van de ALdi heeft gesproken en krijgt een vrije dag :)

De Lidl website admin etc. mag wel blij zijn, gratis en voor niets is hun webstek tegen het licht gehouden
en kreeg men allerlei feedback. Het gevaar (danger) in de code lijkt inmiddels wel bezworen ;).

Daarnaast hebben allerlei mensen hier ook naar gekeken, oftwel een posting "ter leringhe ende vermaeck".

Ik vond het zeker gezien het aantal positieve reacties wel een aardig draadje geworden zo,
maar daar hoeft iedereen het natuurlijk niet mee eens te zijn.
Moge het passen binnen Security.NL's missie.

De azijnfles blijft nooit lang vol immers en met zout gemengd helpt dat tegen onkruid. ;)

Wel leuk dat er interesse bleek bij sommigen voor 3rd party cold recon website security scanning.
Ik dacht dat er daar niet zo veel belangstelling voor zou bestaan. Fouten jagen - best wel wat van te leren.

Dank, luntrus

Sommige instances van mensen doen dit om iets in jou te triggeren. Iets met verhoogde potentialen. Meer info als het doorgaat ;-) P300 is toch ook geen communicatieapparatuur want dat is P2000. Dus we zullen wel zien...

U heeft verder gelijk want dat is wat een normaal weldenkend mens doet. Heerlijk dat u er bent en dat wij in de meerderheid zijn en altijd zullen blijven want dat is altijd zo geweest.

Volgens mij heeft de ALDI het beter geregeld:

https://www.aldi.nl/informatie/productwaarschuwing-2019-02-01.html


Zelfde Unicode waarschuwingssymbool.

Zouden ALDI en LIDL dezelfde programmeurs hebben? De stijlen lijken een beetje op elkaar.

ALDI header:



LIDL header:

Voor zover mensen dit draadje goed hebben begrepen en in zich hebben opgenomen mogelijk wel ja. ;)
Maar de lidl website geeft nog steeds in het rood "danger" bij veilige browserinstellingen.
(met javascript uit, en svg.disabled = true)
Jammer dat er zo weinig rekening wordt gehouden met bezoekers die extra veilige browserinstellingen gebruiken.

Met dezelfde veilige instellingen is de Aldi -website een stuk beter te bekijken
en dat zonder dergelijke huiveringwekkende fratsen.

Interessant: https://www.webtoolhub.com/tn561389-web-page-analyzer.aspx
HTML Tags Validation
Following (3) highlighted tags seem illegal in page contents. \

Tag Name Value
Title Lidl Nederland - Lidl.nl
Description Lidl Nederland

Check more details with

Details
Tag Value
Title
(24 chars, 4 words) Lidl Nederland - Lidl.nl
x-ua-compatible ie=edge
viewport width=device-width, initial-scale=1
description
(14 chars, 2 words) Lidl Nederland
keywords
(29 chars, 4 words) offers,deals,specials,reduced
robots index, follow
apple-itunes-app app-id=398474140
application-name Lidl.nl
msapplication-config /statics/lidl-offering_3x/global/v26/browserconfig.xml?svi=3.21
Visual Comparison
Tag Length
Title 24
70
Meta Description 14
200
Max. recommended contents length

luntrus

'k Zag toevallig dat de melding "danger" nu toch echt is verdwenen.

Maakt ook niet uit verder, er zijn genoeg LIDL winkels. Je hoeft hun website niet te bezoeken.

Lieve reactanten en volgers van deze draad,

Dan heeft het dus allemaal z'n doel gehad. De "danger" alert is weg. Hoera, naar de digitale vergetelheid geholpen.

Kijk normaal doe ik dat toch wel, namelijk dat 3rd party cold recon scannen en uitdiepen van bevindingen.

Ctrl+Shift+I en duiken in die errors op de developer console, CSP Evaluator aan, Retire.Js van Erlend Oftedal en Node Inspector Manager en gaan met die banaan. Linten, fuzzen, SNYK-en en snort-en.

Ik moest wel twee hele fijne scan-sites verliezen aan malcreanten, die het licht schuwen - aw-snap.info fileviewer , als website down vanwege een malscript injectie, maar ja Word Press site, goed geconfigureerd, maar blijft aanmodderen.

Ook het Noorse urlquery dot net, is al weer heel eventjes down for everyone & mezelf. Maar we hebben weer Maltiverse toegevoegd, samen met IP relations op VT, smullen, mensen.

Ook in de hoop, dat iemand achter de site het oppikt en er wat mee doet en misschien nog een aantal, die er wat mee gaan doen in positieve zin. Daar doen we het toch allemaal voor om de algemene website infrastructuur zoals de Engelsen zeggen "a tad" of zoals men hier zegt, een "frutje", beter te maken. Been there, done that, won a T-shirt & bekertje met opdruk.

Dank aan allen, die dit draadje, in mijn bescheiden mening, tot een pareltje hebben gemaakt. Dat het nog maar vaak herlezen mag worden is mijn wens en dat van ganser harte.

luntrus

Websiteontwikkelaars moeten er natuurlijk zorgen dat gebruikte bibliotheken en tools up-to-date zijn. JavaScript is echter niet meer weg te denken uit deze tijd van moderne websites, met een fatsoenlijke vormgeving & user interface. Met van die knullige HTML-only sites kan je echt niet meer aankomen.

Valt wel mee hoor, met css kom je een heel eind.

Qua privacy en veiligheid is laatstgenoemde zoveel beter, dat heeft mijn voorkeur. Blokkeer standaard minimaal scripts, werkt een site dan niet op naar de volgende. Daar zit je dan met je gelikte website maar wel minder bezoekers of potentiële klanten.
Voorbeeld: telegraaf.nl niet zo lang geleden moest je opeens scripts toestaan om de site te bezoeken, binnen twee maanden hebben ze dit toch maar teruggedraaid. Je kunt nu zelfs opeens de site via de proxy van Startpage bekijken. (standaard uiteraard telegraaf en onderdelen van TMG geblokkeerd)

En fatsoenlijke browsers richten meer op privacy, dat daar in een site vol met scrips van derden e.d. goed werkt wordt steeds kleiner. Probeer in zo'n browser maar eens tickets te bestellen bij het theater met die prachtig gelikte website. Zijn gelukkig uitzonderingen, maar het merendeel is een ramp, helemaal voor je privacy...

De problemen met JavaScript kennen we al uit de dagen dat JavaScript vorm had gekregen.
Dit binnen tien dagen wel te verstaan (via Brendan Eich, ja ook de man achter de Brave browser).
JavaScript, dat later aanvakelijk niet klaar bleek voor toepassingen met html.

Van DOM-XSS exercities weten we dat ons dat nog wel eens kan opbreken.

Veel in dit opzicht heeft Erlend Oftedal betekend met zijn Retire.JS
(ook als extensie/add-on in de browser).

Online met retire.insecurity.today. Packers en unpackers, obfuscators.
Hoe lang duurt de afloop van een script en welke indicatie levert dit op.

Linten met behulp van SNYK en snort.
DOM-XSS scannen op sinks en sources,
(input, die gecontroleerd kan worden(sinks) en methoden daartoe (sources)).

Met uMatrix kan de van de hoed en de rand wetende toggelaar genoeg dichtzetten
om op een privacy vriendelijk draaiend & gewenste website functionaliteit uit te komen,
die tevens veilig is. Een keertje goed afregelen en er draait niets meer dat niet draaien moet.

De baanbreker op dit terrein was Giorgio Maone met zijn NoScript extensie,
maar die add-on was niet te 'porten' naar Google Chrome of een chromium kloon browser.
Ergo blijft dit een firefox gebeuren (Cliqz browser).

Toch worden onderzoeksscans naar onveiligheid ook door cyber-malcreanten gefrustreerd.
Kijk naar de urlquery dot net website en recentelijk Redleg's aw-snap info site met zijn fileviewer.
Ze liggen er weer eens uit. Down for all - little old me included.

Een fijn iets voor zandbak onderzoekertjes is Bobby's Malzilla browser.
Ik heb mijn eigen versie draaien om kwaadaardige redirects te onderzoeken alsmede script-afloop.

Het belangrijkste is voldoende validatie bij client- en (web)server-kant
en het gebruik van voldoende en juiste "best policies".

Het is allemaal materie, waar je nog niet zo gauw op uitgeprakkizeerd bent.
Maar het is wel degelijk zinvol je erin te verdiepen.

Net als prairie-indiaanse verkennerse vroeger aan gewone weegbree konden zien
of er westerlingen in de buurt waren geweest,. Zij verspreiden het via de schoenzolen,
net als de Romeinen in het antieke Rome via de heirbanen via hun sandaalzolen grote weegbree verspreidden.

Zo moet de script analyticus mogelijk kwetsbaar script al kunnen "ruiken",
net als bij zwakke en kwetsbare back-end CGI scripts bij traditionele XSS,
dat gebruik kan maken van kwetsbaar JavaScript.

Ik wens u allen een goede website-kwetsbaarheid-jacht.
Mok warme chocolaat erbij of een kop warme Yerba-munt-thee,
navenant met een punt echte Limburgse bosvruchten-vlecht-vlaai.
Mmmmmmmmm...

luntrus

Daarmee kan je het smoeltje oppoetsen. Maar met alleen een lekker bekkie heb je nog geen fatsoenlijke GUI met goede interactie.