Sites met een security gat

Ik denk dat ze in BV hier wellicht meer verstand van hebben

Ik heb hier verder geen ervaring mee, maar als je bang bent voor gezeik zou ik simpel via een proxy een tijdelijke e-maildienst gebruiken. Er zijn bijvoorbeeld sites die een email-adres voor je kunnen genereren die een week beschikbaar zijn. Ook heb ik er wel een paar gezien waarbij je de levensduur van je inbox kan verlengen mocht je bijvoorbeeld geen reactie krijgen binnen x tijd.

Meld het ze liefst via de beheerder of voor de PR afdeling. Maar de toon is het belangrijkste het moet een niet een minderwaardige/ eiserige toon hebben. Tevens moet je niet gaan dreigen, maar stel dat je bezorgd ben om jou gegevens en dat je het graag aan hun wilt mededelen dat ze een beveiligings-lek hebben

Ik meld het meestal gewoon aan de beheerder en soms krijg je dan een bedank-mailtje en 'we kijken ernaar' antwoord terug.
En wat Lucky ook zegt, verwoord het allemaal netjes.

Je kan moeilijk gezeik krijgen als je niks fouts hebt gedaan, geen enkele rechter zou jou daarvoor veroordelen. Netjes melden wat er fout is en dan hopen dat ze er wat mee doen.

In principe ben je door een open deur naar binnen gewandeld.

Heb in het verleden ook wel wat van die dingetjes gevonden en gemeld meestal hoor je er niets van soms een bedankmailtje.

Beste resultaat was jaren geleden een boekenbon van een tientje

Had ook niet lang geleden wat gevonden en gemeld. Kreeg hiervoor een brief en 5 bioscoop bonnen

Tsurany schreef op vrijdag 03 juni 2011 @ 22:03:
Je kan moeilijk gezeik krijgen als je niks fouts hebt gedaan, geen enkele rechter zou jou daarvoor veroordelen. Netjes melden wat er fout is en dan hopen dat ze er wat mee doen.

Wetboek van Strafrecht, Artikel 138a (computervredebreuk) is het niet met je eens.

Fish: ik zou lekker melden hoe je exploit zou werken, maar zeker niet toegeven dat je dit hebt getest. Met een tekst als "door X en Y toe te passen is het in theorie mogelijk om een PHP file met wachtwoorden te downloaden" sta je een stuk sterker dan "Door X en Y toe te passen kon ik een PHP file met wachtwoorden downloaden".

Hoe dan ook, netjes dat je ze wil verwittigen, ik weet dat ik dat in ieder geval zou waarderen als beheerder

[ Voor 37% gewijzigd door citruspers op 03-06-2011 22:21 ]

Inderdaad. Zelfs door een open deur mag je niet lopen als je redelijkerwijs kunt aannemen dat je er niet doorheen mag lopen.

Helaas gebeurt dit steeds vaker. Een groot bedrijf neemt een willekeurig reclame- of webbureau in de arm waar een willekeurige scholier die wel eens een php-boek heeft gelezen de site even in elkaar knutselt.

In dat artikel staat het volgende:
Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
door het doorbreken van een beveiliging,
door een technische ingreep,
met behulp van valse signalen of een valse sleutel, of
door het aannemen van een valse hoedanigheid.

Daar is in dit geval geen sprake van, ik zou url's aanpassen niet onder 'technische ingreep' scharen. Het stukje 'in ieder geval' geeft aan dat een rechter mogelijk zou kunnen oordelen dat het gokken naar willekeurige pagina's er ook onder valt, echter elke rechter begrijpt dat er geen sprake is van binnendringen en zeker als hij het keurig meld zal iedere rechter het bedrijf een dikke vinger geven en ze vertellen dat ze blij mochten zijn dat het gemeld is.

Je mag niet door een open duur naar binnen lopen, je mag wel even je hoofd naar binnen steken en roepen of er iemand aanwezig is om ze vervolgens op de open deur te attenderen.

gone

[ Voor 172% gewijzigd door console op 03-06-2011 23:36 ]

fish schreef op vrijdag 03 juni 2011 @ 22:37:
tnx zelfs de sumiere details maar ff weggeedit

Done, met iets minder details dan hier beschreven. maar genoeg om ze aan het werk te zetten

Al een reactie onvangen van hun kant? Blijkbaar heeft het geen haast iig, want kan nog steeds vrolijk alles door huppelen.

Zorg vooral dat je niets aanpast. Een aantal jaar geleden heeft een bedrijf nog geroepen aangifte te gaan doen tegen mij wegens computervredebreuk omdat ik een foutje gevonden had.

Doordat de betreffende site (een alumni site van een hogeschool) wat moeite had met inloggen (lees: een webmaster die er geen verstand van had had wat om zeep geholpen) kwam je in een loop terecht die het onmogelijk maakte om in te loggen. Het leek alsof je niet ingelogd werd maar stiekem werd je dat wel. Toen ik via een omweggetje uiteindelijk bij mijn 'profielpagina' uit kwam zag ik een volgnummertje in de URL staan. Door deze aan te passen kwam je bij de gegevens van andere studenten uit. Ook op de pagina waar je je eigen gegevens aan kon passen kon je deze bijzonder ingewikkelde truc uithalen. En omdat ik het idee had dat je ook gegevens aan zou kunnen passen heb ik dat netjes gemeld aan de webmaster en de verantwoordelijke docent van de hogeschool. Kreeg ik een reactie dat het niet mogelijk was om gegevens van anderen aan te passen. En daar ben ik zelf eigenlijk de fout in gegaan: ik heb op het account van de webmaster bewezen dat het wel kon. Wat ik gedaan heb is dat ik een leeg invoerveld (woonplaats geloof ik) bij haar profiel gevuld heb met de tekst 'qwerty' en dit opgeslagen heb. Hier de screenshots van gestuurd en voor de zekerheid de mail in de BCC ook maar even naar de verantwoordelijke directie. Nooit meer wat op gehoord.

Tot een maand of 3 later. Toen verscheen er een mailtje van de advocaat van de leverancier van de website. Er was geconstateerd dat er door mij ingebroken was in hun database en er ging aangifte gedaan worden wegens computervredebreuk. Men zat in een offertetraject bij dezelfde hogeschool en tijdens dit traject was er ineens naar boven gekomen dat hun software 'lek' zou zijn. En dat namen ze mij dus niet echt in dank af, helemaal omdat ik het niet gemeld zou hebben maar ik er misbruik van gemaakt had. Al met al een paar uur met de directeur van het bedrijf aan de lijn gehangen om de situatie uit te leggen. Uiteindelijk is er geen aangifte gedaan tegen mij omdat ik nog kon aantonen dat ik de verantwoordelijke directie via de BCC op de hoogte gesteld had. Al met al liep het voor mij met een sisser af, maar je gaat je er wel door afvragen of je er goed aan doet om dit soort dingen te melden...

Aan de andere kant, laatst kwam ik in de cache van google een volledige database tegen met alle 1402 gebruikers van een jongerenwebsite van een bepaalde plaats, inclusief leesbare wachtwoorden et cetera. Dat heb ik toch ook maar even gemeld, dan krijg je alleen maar een reactie dat ze wel even gaan proberen om het uit de cache te krijgen. Vervolgens staat het er 14 dagen later nog. Dan zou je toch bijna even de mailadressen uit de database plukken en alle gebruikers even vragen hun wachtwoorden te wijzigen....

De website van de krant Het Nieuwsblad (www.nieuwsblad) doet niet aan versleuteling. Indien je, je wachtwoord bent vergeten krijg je het gewoon teruggemailed in plain tekst. Ik heb geen beveiligingsguru maar veilig lijkt me dit niet? Toen ik dit ontdekte heb ik een mailtje verzonden:

Beste

Kunt u of iemand anders mij uitleggen waarom de wachtwoorden van al jullie gebruikers in de databank niet worden gehashed? Dit is een korte vraag maar een uitgebreide verklaring zou leuk zijn.

Groeten
filenox

Vervolgens kreeg ik een mailtje dat mijn vraag in behandeling was (autorespond) maar natuurlijk geen antwoord te bekennen. Ik heb vandaag hetzelfde maitje opnieuw verzonden.

Ik heb ook al een dergelijke situatie gehad. Een bepaalde website controleerde via Javascript naar eventuele waarden die een SQL-injectie zouden kunnen zijn. " OR 1 bijvoorbeeld. Javascript afzetten en je kon zo inloggen. Heb de webmaster dan ook maar een mailtje gestuurd via het contactformulier maar heb er nooit reactie op gehad. Ben trouwens vergeten over welke site het hier ging, dus ik heb er geen idee van als het lek er nog steeds is.

Sodeju wat een fouten, het verbaast me telkens weer dat vandaag de dag nog steeds veel bedrijven (ook grote partijen met voldoende ontwikkelbudget) dit soort cruciale onderdelen negeren.

fish schreef op vrijdag 03 juni 2011 @ 19:06:
Zo zag ik laatst een site van een relatief grote fabrikant [weg] waar ik een manual downloadde. Daar viel me wat op in de url en door die aan te passen kon ik de index.php downloaden.

Vond pas dit lijstje security rules en wat je beschrijft lijkt me een schending van regel 3c.

filenox schreef op zaterdag 18 juni 2011 @ 19:49:
De website van de krant Het Nieuwsblad (www.nieuwsblad) doet niet aan versleuteling. Indien je, je wachtwoord bent vergeten krijg je het gewoon teruggemailed in plain tekst. Ik heb geen beveiligingsguru maar veilig lijkt me dit niet?

Regel 1 en 2.

Verwijderd schreef op zaterdag 18 juni 2011 @ 20:30:
Ik heb ook al een dergelijke situatie gehad. Een bepaalde website controleerde via Javascript naar eventuele waarden die een SQL-injectie zouden kunnen zijn. " OR 1 bijvoorbeeld. Javascript afzetten en je kon zo inloggen.

Regel 3e.

Wat een knoeperts van fouten, dit zijn toch hele essentiële dingen. Je zou zeggen dat mensen de afgelopen jaren door schade en schande wel wijs zijn geworden. Zijn er dan ZO veel webontwikkelaars die dit gewoon geen benul hebben van veiligheid? Zorgelijk....

fish schreef op vrijdag 03 juni 2011 @ 19:06:
]Nou wil ik ze best laten weten dat er een gat inzit maar ik heb geen zin in gezeik daardoor.
Mijn vraag dus, wat zijn jullie ervaringen met het ondekken van gaten en het melden ervan ?

Ik zou even een anonieme hotmail gebruiken. Eventueel versturen via proxy of vanuit openbare ruimte, school, bibliotheek, webcafe. Aan de andere kant, voor alleen het wijzen op een fout zullen ze niet direct je IP gaan traceren en je aanklagen

En nog steeds antwoorden ze niet op m'n mails... Mmm niet echt een verrassing maar toch

Verwijderd schreef op woensdag 22 juni 2011 @ 13:54:
Sodeju wat een fouten, het verbaast me telkens weer dat vandaag de dag nog steeds veel bedrijven (ook grote partijen met voldoende ontwikkelbudget) dit soort cruciale onderdelen negeren.

Wat een knoeperts van fouten, dit zijn toch hele essentiële dingen. Je zou zeggen dat mensen de afgelopen jaren door schade en schande wel wijs zijn geworden. Zijn er dan ZO veel webontwikkelaars die dit gewoon geen benul hebben van veiligheid? Zorgelijk....

De website was ook al enkele jaren oud.