Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Security MijnNS sucks

Pagina: 1
Acties:
  • 131 views sinds 30-01-2008

woensdag 14 maart 2007 22:15

Acties:

Verwijderd

Topicstarter
Ik wilde 's inloggen op de klanten-sectie van de ns.nl-site. Om het verhaal kort te houden, deze site rammelt aan alle kanten; mijn pc is nog beter beveiligt dan de NS. (hoezo, seinstoringen?) Als ik op https://klanten.ns.nl/ ga dan kan ik al gelijk kiezen om te gaan naar de:

BEA WebLogic Server 8.1™
Web Server Index Page
Access WebLogic Server Console = https://klanten.ns.nl/console
default PeopleSoft logon page = https://klanten.ns.nl/ps/signon.html

Het zou me eens niet verbazen als de default usernames en passwords nog actief zijn ingeschakeld. (niet dat ik dat ga uitzoeken, daar ben ik te lui voor).

Als ik naar de inlog-pagina ga zoals de 'beheerders' dat onlogischerwijs zich hebben voorgesteld op:
https://klanten.ns.nl/psp/ps/?cmd=login krijg ik gelijk de melding van een mixed-mode http/https foutmelding.

Helaas weet ik mijn wachtwoord niet meer, dus klik ik op 'wachtwoord vergeten'.
Ja hoor, een http error 500! :(
Nee, de NS kan beter fuseren met de grundlichheid van de DB. Wat een zooitje.

woensdag 14 maart 2007 22:18

Acties:
  • Nik
  • Registratie: April 2004
  • Laatst online: 30-11 14:49

Nik

Mail ze even :)

woensdag 14 maart 2007 22:33

Acties:
  • Mint
  • Registratie: Mei 2005
  • Laatst online: 20:38

Mint

Ik krijg anders geen HTTP 500 bij 'wachtwoord vergeten?'. :)

woensdag 14 maart 2007 22:36

Acties:

Verwijderd

Topicstarter
Dr staat niet eens een e-mail adres c.q. contact-sectie. afgezien van een 0900-nummer :P

woensdag 14 maart 2007 22:37

Acties:
  • ibmos2warp
  • Registratie: Januari 2007
  • Laatst online: 20-11-2023

ibmos2warp

Eval is Evil

adyta schreef op woensdag 14 maart 2007 @ 22:33:
Ik krijg anders geen HTTP 500 bij 'wachtwoord vergeten?'. :)
Ik kreeg zonet wel een 500, maar nu niet meer :?. Brakke server misschien?

Ik weet alles van niks
Vind Excel ongelovelijk irritant.

woensdag 14 maart 2007 22:39

Acties:

Verwijderd

Topicstarter
zeg ik toch :D

woensdag 14 maart 2007 22:42

Acties:
  • Andros
  • Registratie: Juli 2005
  • Laatst online: 30-11 13:43

Andros

Seinstoringen zijn btw de fout van ProRail, daar moet ook nodig eens de bezem door. NS doet veel fout maar dingen op het spoor zelf zijn van de beheerder hoor...

woensdag 14 maart 2007 22:43

Acties:
  • ibmos2warp
  • Registratie: Januari 2007
  • Laatst online: 20-11-2023

ibmos2warp

Eval is Evil

Verwijderd schreef op woensdag 14 maart 2007 @ 22:39:
zeg ik toch :D
Ik lette alleen op de titel toen ik dat poste :/...
Maar ze hebben genoeg email adressen als recruitment@ns en buisnessiets@ns, dan zouden ze toch ook wel een webmaster@ns hebben lijkt mij... :X

Ik weet alles van niks
Vind Excel ongelovelijk irritant.

woensdag 14 maart 2007 22:43

Acties:
  • We Are Borg
  • Registratie: April 2000
  • Laatst online: 22:01

We Are Borg

Moderator Wonen & Mobiliteit / General Chat
Wat heeft dit met security te maken? Okee, server is brak afgesteld wellicht, maar ik zie nergens bewijs dat er iets mis is met de beveiliging. En topic titel zegt toch erg ongefundeerd "Security MijnNS sucks" :z

woensdag 14 maart 2007 22:45

Acties:
  • PrisonerOfPain
  • Registratie: Januari 2003
  • Laatst online: 26-05 17:08

PrisonerOfPain

proller schreef op woensdag 14 maart 2007 @ 22:18:
Mail ze even :)
Heb jij toevallig een e-mail adres? Ik heb de ns jaren geleden ooit gemailed over een cross side scripting "aanval" die sinds 2004 op z'n minst mogelijk is. Heb er tot op heden nog geen reactie op gehad, overigens.

woensdag 14 maart 2007 22:46

Acties:
  • SpiceWorm
  • Registratie: November 2000
  • Laatst online: 25-10 09:53

SpiceWorm

Sterker nog: het lijkt me stug dat er überhaupt iets als een 'default' pass bestaat bij dit soort pakketten. Het lijkt me dat er in ieder geval een random pass wordt gesuggereerd bij de installatie.

woensdag 14 maart 2007 22:49

Acties:

Verwijderd

Topicstarter
Reactie op "we are borg".
I beg to differ!
Als ik al bij de eerste de beste server-fout terecht kom als 'domme gebruiker' op een pagina waarop ik kan doorklikken naar een administrator-console, slecht beveiligd met een naar verhouding eenvoudige username/wachtwoord; dan noem ik dit een belachelijke slechte beveiliging. we hebben hier niet te maken de 'bakker op de hoek', maar me de NS met een grote userbase. Daar mag je toch wel verwachten dat de site evengoed is ingericht als de nederlandse banken...

Zelf had ik bijvoorbeeld ervoor gezorgd dat je enkel op de console kunt komen met een passende certificaat. Hoe moeilijk kan het zijn.

woensdag 14 maart 2007 22:57

Acties:
  • We Are Borg
  • Registratie: April 2000
  • Laatst online: 22:01

We Are Borg

Moderator Wonen & Mobiliteit / General Chat
Mwah, het zou mooi zijn als die link inderdaad niet zichtbaar zou zijn, maar dat jij er nu toevallig op bent gekomen betekent niet dat de beveiliging erachter slecht is. Wie zegt dat jij met een eenvoudig username en wachtwoord kan inloggen op het server beheer gedeelte? Je hebt het niet geprobeerd omdat je 'te lui was'. Kortom, je hebt een inlogpagina gevonden voor serverbeheer...wohoo!

Note dat na het inloggen bijv ook je IP adres gecheckt kan worden of je wel mag inloggen vanaf jouw ip, zelfs al heb je een gebruikersnaam en wachtwoord wat klopt. Dat weet jij niet. Daarnaast zal ik het met je eens zijn als je zegt dat het niet netjes is dat je toevallig op die pagina komt, maar beveiliging hangt absoluut niet af van het verborgen houden van een inlogpagina. Juist op die inlogpagina en alles daarna moet alles kloppen

woensdag 14 maart 2007 23:05

Acties:
  • Mint
  • Registratie: Mei 2005
  • Laatst online: 20:38

Mint

We Are Borg schreef op woensdag 14 maart 2007 @ 22:57:
Mwah, het zou mooi zijn als die link inderdaad niet zichtbaar zou zijn, maar dat jij er nu toevallig op bent gekomen betekent niet dat de beveiliging erachter slecht is. Wie zegt dat jij met een eenvoudig username en wachtwoord kan inloggen op het server beheer gedeelte? Je hebt het niet geprobeerd omdat je 'te lui was'. Kortom, je hebt een inlogpagina gevonden voor serverbeheer...wohoo!

Note dat na het inloggen bijv ook je IP adres gecheckt kan worden of je wel mag inloggen vanaf jouw ip, zelfs al heb je een gebruikersnaam en wachtwoord wat klopt. Dat weet jij niet. Daarnaast zal ik het met je eens zijn als je zegt dat het niet netjes is dat je toevallig op die pagina komt, maar beveiliging hangt absoluut niet af van het verborgen houden van een inlogpagina. Juist op die inlogpagina en alles daarna moet alles kloppen
Ik kan het niet meer met je eens zijn. Op veel sites zie je wel een link genaamd 'admin' of iets dergelijks. Mail je dan de webmaster ook om te zeggen dat de beveiliging 'sucks'?

Dat het niet zo netjes is van de NS kan ik snappen. Maargoed, dat zijn we ook wel een beetje gewend van ze ;)

donderdag 15 maart 2007 12:22

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Fantastisch, maar foutmeldingen op websites zijn niet echt iets voor Beveiliging & Virussen. :) Dit topic gaat dicht.

Signature

Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq