Vraag

vrijdag 16 juni 2017 16:02

Acties:
  • 0 Henk 'm!
  • Vunzz
  • Registratie: Augustus 2001
  • Laatst online: 23-08 15:09

Vunzz

Topicstarter
In een poging een organisatie te laten weten dat het via een webformulier op hun website mogelijk is om klantgegevens te achterhalen heb ik de administrative contact van hun domein (organisatie.nl) gemaild. Die mail bouncede met een curieuze reden: de domeinnaam (organisatie-plaatsnaam.nl) die bij dat mailadres (postmaster@organisatie-plaatsnaam.nl) hoort bestaat niet (meer).
organisatie-plaatsnaam.nl kan ik vrijelijk registreren, waardoor ik controle krijg over postmaster@organisatie-plaatsnaam.nl. Klopt mijn aanname dat dit een groot beveiligingsrisico is voor het "gewone" domein organisatie.nl?

Uiteraard zijn de genoemde domeinnamen gefingeerd.

[ Voor 0% gewijzigd door Vunzz op 16-06-2017 16:59 . Reden: typo in mailadres ]

How can you conquer a hill top, if you are to busy at the bottom stepping over stones.

Beste antwoord (via Vunzz op 16-06-2017 17:28)

vrijdag 16 juni 2017 16:40

  • eric.1
  • Registratie: Juli 2014
  • Laatst online: 10:11

eric.1

Vunzz schreef op vrijdag 16 juni 2017 @ 16:02:
organisatie[.]plaatsnaam.nl kan ik vrijelijk registreren, waardoor ik controle krijg over postmaster@organisatie[-]plaatsnaam.nl. Klopt mijn aanname dat dit een groot beveiligingsrisico is voor het "gewone" domein organisatie.nl?
Nog een typo? :)

In theorie wel. Je zou dat organisatie-plaatsnaam.nl domein kunnen registreren, dat specifieke emailadres aanmaken (van het Admin Contact) en een verzoek kunnen doen om wijzigingen voor domein organisatie.nl door te voeren. Zodoende zou je bijvoorbeeld het www-record naar jouw servertje kunnen laten verwijzen en zo de website "overnemen". Aangenomen dat je verzoek zonder pardon wordt gehonoreerd door de beherende partij van domein organisatie.nl.

Of het hele domein moet beheerd kunnen worden met een account gekoppelt op ....@organisatie-plaatsnaam.nl (dan kun je alles doen).

Staan er op die website zelf geen contactgegevens van de beheerder? Dan kun je die even een mailtje sturen.

Alle reacties

vrijdag 16 juni 2017 16:05

Acties:
  • 0 Henk 'm!
  • ehtweak
  • Registratie: Juli 2002
  • Niet online

ehtweak

ICT opruimer

SIDN gegevens opzoeken, en/of gewoon naar de NAW gegevens op zoek gaan en ze ff bellen? >:)

   Mooie Plaatjes   

vrijdag 16 juni 2017 16:06

Acties:
  • +1 Henk 'm!
  • anboni
  • Registratie: Maart 2004
  • Laatst online: 07:36

anboni

Of melding maken bij de SIDN en hun het uitzoekwerk laten doen. Ze hebben vrij heldere voorwaarden over de bereikbaarheid van contactpersonen bij .nl domeinen, en dit klinkt alsof het niet aan die voorwaarden voldoet.

vrijdag 16 juni 2017 16:14

Acties:
  • 0 Henk 'm!
  • Vunzz
  • Registratie: Augustus 2001
  • Laatst online: 23-08 15:09

Vunzz

Topicstarter
SIDN even op de hoogte stellen is inderdaad ook een mogelijkheid, dat zal ik meteen even doen.
Los daarvan: de mogelijkheid om controle te krijgen over het administrative mailadres is toch een security issue?

How can you conquer a hill top, if you are to busy at the bottom stepping over stones.

vrijdag 16 juni 2017 16:16

Acties:
  • 0 Henk 'm!
  • Thijmen
  • Registratie: Juni 2011
  • Laatst online: 25-07 13:16

Thijmen

Je hebt het over postmaster@organisatie-plaatsnaam.nl en postmaster@organisatie.plaatsnaam.nl.
Welk van de twee is het?

vrijdag 16 juni 2017 16:20

Acties:
  • 0 Henk 'm!
  • Vunzz
  • Registratie: Augustus 2001
  • Laatst online: 23-08 15:09

Vunzz

Topicstarter
Die met het streepje. Typo meteen even verwijderd.

How can you conquer a hill top, if you are to busy at the bottom stepping over stones.

vrijdag 16 juni 2017 16:25

Acties:
  • 0 Henk 'm!
  • anboni
  • Registratie: Maart 2004
  • Laatst online: 07:36

anboni

Vunzz schreef op vrijdag 16 juni 2017 @ 16:14:
SIDN even op de hoogte stellen is inderdaad ook een mogelijkheid, dat zal ik meteen even doen.
Los daarvan: de mogelijkheid om controle te krijgen over het administrative mailadres is toch een security issue?
Niet noodzakelijk, denk ik. Tenminste, als dat email adres ook wordt gebruikt (of is gekoppeld) om in te loggen bij de registrar wel. Als het email adres echt alleen een contactpersoon is, valt de security impact denk ik wel mee.

vrijdag 16 juni 2017 16:37

Acties:
  • 0 Henk 'm!
  • Rmg
  • Registratie: November 2003
  • Laatst online: 10:52

Rmg

Vunzz schreef op vrijdag 16 juni 2017 @ 16:14:
SIDN even op de hoogte stellen is inderdaad ook een mogelijkheid, dat zal ik meteen even doen.
Los daarvan: de mogelijkheid om controle te krijgen over het administrative mailadres is toch een security issue?
Ja het is een potentieel security issue, iemand kan dat domein registreren en zo als 'administratief contact' gaan mailen met registrars of SIDN bijvoorbeeld.

Hoe groot de impact is / kan zijn, tjah lastig te zeggen

vrijdag 16 juni 2017 16:40

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • eric.1
  • Registratie: Juli 2014
  • Laatst online: 10:11

eric.1

Vunzz schreef op vrijdag 16 juni 2017 @ 16:02:
organisatie[.]plaatsnaam.nl kan ik vrijelijk registreren, waardoor ik controle krijg over postmaster@organisatie[-]plaatsnaam.nl. Klopt mijn aanname dat dit een groot beveiligingsrisico is voor het "gewone" domein organisatie.nl?
Nog een typo? :)

In theorie wel. Je zou dat organisatie-plaatsnaam.nl domein kunnen registreren, dat specifieke emailadres aanmaken (van het Admin Contact) en een verzoek kunnen doen om wijzigingen voor domein organisatie.nl door te voeren. Zodoende zou je bijvoorbeeld het www-record naar jouw servertje kunnen laten verwijzen en zo de website "overnemen". Aangenomen dat je verzoek zonder pardon wordt gehonoreerd door de beherende partij van domein organisatie.nl.

Of het hele domein moet beheerd kunnen worden met een account gekoppelt op ....@organisatie-plaatsnaam.nl (dan kun je alles doen).

Staan er op die website zelf geen contactgegevens van de beheerder? Dan kun je die even een mailtje sturen.

vrijdag 16 juni 2017 16:51

Acties:
  • 0 Henk 'm!
  • unezra
  • Registratie: Maart 2001
  • Laatst online: 11-08 11:08

unezra

Ceci n'est pas un sous-titre.

Vunzz schreef op vrijdag 16 juni 2017 @ 16:02:
In een poging een organisatie te laten weten dat het via een webformulier op hun website mogelijk is om klantgegevens te achterhalen heb ik de administrative contact van hun domein (organisatie.nl) gemaild. Die mail bouncede met een curieuze reden: de domeinnaam (organisatie-plaatsnaam.nl) die bij dat mailadres (postmaster@organisatie-plaatsnaam.nl) hoort bestaat niet (meer).
organisatie.plaatsnaam.nl kan ik vrijelijk registreren, waardoor ik controle krijg over postmaster@organisatie-plaatsnaam.nl. Klopt mijn aanname dat dit een groot beveiligingsrisico is voor het "gewone" domein organisatie.nl?

Uiteraard zijn de genoemde domeinnamen gefingeerd.
Hoe ga je controle krijgen over postmaster@organisatie-plaatsnaam.nl als je organisatie.plaatsnaam.nl registreert? Daarvoor zul je organisatie-plaatsnaam.nl moeten registreren.

Ná Scaoll. - Don’t Panic.

vrijdag 16 juni 2017 16:58

Acties:
  • 0 Henk 'm!
  • Vunzz
  • Registratie: Augustus 2001
  • Laatst online: 23-08 15:09

Vunzz

Topicstarter
Ja precies. Ik denk dat veel af hangt van registrars, maar toegang tot het administrative mailadres wordt nog wel eens gebruikt als bewijs van eigenaarschap.

How can you conquer a hill top, if you are to busy at the bottom stepping over stones.

vrijdag 16 juni 2017 17:00

Acties:
  • 0 Henk 'm!
  • Vunzz
  • Registratie: Augustus 2001
  • Laatst online: 23-08 15:09

Vunzz

Topicstarter
Het verschil tussen een - en een . is in dit geval nogal belangrijk :+
Het gaat dus om organisatie.nl en (postmaster@)organisatie-plaatsnaam.nl.

How can you conquer a hill top, if you are to busy at the bottom stepping over stones.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq