| Vorige onderwerp :: Volgende onderwerp |
| Auteur |
Bericht |
jacco
Geregistreerd op: 19-12-2006
Berichten: 52
|
 Geplaatst: Do Okt 18, 2007 10:38 am Onderwerp: website ministeries kwetsbaar voor XSS en mogelijk SQLinj. |
 |
|
Een groot aantal website van de overheid zijn kwetsbaar voor XSS en mogelijk ook SQL-injection.
Ik heb een aantal websites van ministeries bekeken.
Daar in zijn XSS en mogelijk ook SQL-injection lekken aanwezig in de meest eenvoudige vorm op de meest voordehandliggende plekken.
Meer volgt later.(hoop ik)
Edit:
Het eerste ministerie heeft gebeld
Ook govcert is in actie gekomen
Greetingz,
jacco |
|
| Naar boven |
|
 |
OpenMind
Geregistreerd op: 3-12-2006
Berichten: 191
|
| Geplaatst: Do Okt 18, 2007 2:23 pm Onderwerp: |
|
|
| Heb je ze op de hoogte gesteld of wisten ze je te traceren? Wat zeiden ze? |
|
| Naar boven |
|
|
jacco
Geregistreerd op: 19-12-2006
Berichten: 52
|
| Geplaatst: Do Okt 18, 2007 2:43 pm Onderwerp: |
|
|
Door de verantwoordelijke van een een van de ministeries is serieus geluisterd. Maar door de ministeries waarvoor informatie beveiliging erg belangrijk is en beveiliging tevens hun vak is is nog niet gereageerd.
Govcert heeft nu ook gereageerd op de 10tallen kwetsbaarheden die ik aan hun heb gerapporteerd.
Ze willen allemaal graag weten met wie ik technische details heb gedeeld en ofdat ik dit onderzoek alleen heb gedaan.
Ik heb dit onderzoek geheel alleen en op persoonlijke titel gedaan.
Ik heb ze verwezen naar deze post en een post op security.nl en gezegd dat dat de enige informatie is die ik de buitenwereld heb laten weten.
Tot op dit moment hebben ze nog niet met sancties tegen mij gedreigd.
Ik hoop dat dat zo blijft want ik heb toch uit goede intenties gehandeld en responsible disclosure gedaan meen ik zelf.
Greetingz,
Jacco |
|
| Naar boven |
|
|
OpenMind
Geregistreerd op: 3-12-2006
Berichten: 191
|
| Geplaatst: Do Okt 18, 2007 2:49 pm Onderwerp: |
|
|
| Typisch dat hun eerste prioriteit is te vragen met wie je het onderzoek hebt gedaan. |
|
| Naar boven |
|
|
jacco
Geregistreerd op: 19-12-2006
Berichten: 52
|
| Geplaatst: Do Okt 18, 2007 6:17 pm Onderwerp: |
|
|
SQL injection blijkt niet mogelijk.
Nader contact heeft mij doen besluiten geen fulldisclosure van de XSS kwetsbaarheden te doen en geen urls te geven omdat ik de goede relatie met de verschillende ministeries,security bedrijven,security opleidingen en internationale opsporings en veilighiedsdiensten in stand wil houden.
edit:
Zo als je uit deze post misschien al kunt opmaken hebben ik aan het lijstje met kwetsbare website ook een aantal prominente security bedrijven,security opleidingen, keurings instanties, webshops, internationale opsporings en veilighieds diensten en meer organisaties toegevoegd en deze doorgegeven aan Govcert.nl die dit verder afhandeld.
In deze gevallen betrof het allemaal XSS kwetsbaarheden.
Greetingz,
Jacco
Laatst aangepast door jacco op Do Okt 18, 2007 6:59 pm, in totaal 1 keer bewerkt |
|
| Naar boven |
|
|
UnDeRWorLd ScRipTeR
Geregistreerd op: 4-12-2006
Berichten: 797
Woonplaats: Utrecht
|
| Geplaatst: Do Okt 18, 2007 6:17 pm Onderwerp: |
|
|
Wedden dat ze nog aan het nalopen zijn waar er nog meer data erover te vinden is?
_________________
| UnDeRWorLd ScRipTeR schreef: | | Het verleden is niet wat het geweest is. |
 |
|
| Naar boven |
|
|
jacco
Geregistreerd op: 19-12-2006
Berichten: 52
|
| Geplaatst: Do Okt 18, 2007 6:50 pm Onderwerp: |
|
|
Waardoor had ik het vermoede dat SQL injectie mogelijk was?
Als ik in een van de invoervelden : test"
invoerde dan werd er een gemaskeerde serverside error (SQL error?) getoond.
zoiets als : er is een vreemde fout opgetreden controleer de logOen.
Als ik echter de volgende invoer gebruikte : test" or "1"="1
,wat de query weer kloppend zou maken, dan werd er geen serverside error gerapporteerd.
ik heb niet durven proberen om daad werkelijk SQL commandos te injecteren daar door kon de SQL injection niet bevestigen.
Het betreffende ministerie reageerde heel snel en netjes en hebben mij verteld dat er helemaal geen database word gebruikt en dat neem ik dan maar aan.
Greetingz,
Jacco
Laatst aangepast door jacco op Do Okt 18, 2007 8:11 pm, in totaal 1 keer bewerkt |
|
| Naar boven |
|
|
jacco
Geregistreerd op: 19-12-2006
Berichten: 52
|
| Geplaatst: Do Okt 18, 2007 7:09 pm Onderwerp: |
|
|
ik kreeg zojuist het volgende mailtje van govcert:
| Quote: | Beste Jacco,
Dank voor al je informatie en onderzoek. Wij hebben een aantal eigenaren van de betreffende websites geinformeerd.
Ook bedankt dat je redelijke “responsible disclosure” hebt gehanteerd. Wij stellen dat zeer op prijs.
Met vriendelijke groet,.... |
Goed werk Govcert!!! Mijn complimenten!!!
Samen maken we nederland veilig
Hiermee eindigen mijn publieke uitlatingen omtrent deze questie.
Natuurlijk ben ik nog wel altijd bereid om met betrokkenen van woord te wissellen over deze questie.
Greetingz,
Jacco |
|
| Naar boven |
|
|
Arphetic
r00t
Geregistreerd op: 3-12-2006
Berichten: 917
Woonplaats: Dordrecht
|
| Geplaatst: Do Okt 18, 2007 11:58 pm Onderwerp: |
|
|
| jacco schreef: | ik kreeg zojuist het volgende mailtje van govcert:
| Quote: | Beste Jacco,
Dank voor al je informatie en onderzoek. Wij hebben een aantal eigenaren van de betreffende websites geinformeerd.
Ook bedankt dat je redelijke “responsible disclosure” hebt gehanteerd. Wij stellen dat zeer op prijs.
Met vriendelijke groet,.... |
Goed werk Govcert!!! Mijn complimenten!!!
Samen maken we nederland veilig
Hiermee eindigen mijn publieke uitlatingen omtrent deze questie.
Natuurlijk ben ik nog wel altijd bereid om met betrokkenen van woord te wissellen over deze questie.
Greetingz,
Jacco |
Misschien zou je kunnen vragen of je full disclosure mag geven zodra zij het gefixt hebben, en of dat zij hier zelf iets over zouden willen zeggen.
_________________
Founder/Beheerder van RootX
MySpace || Hyves
As intelligence increases speach decreases. (Ali bin Abi Talib) |
|
| Naar boven |
|
|
Tarantula
Geregistreerd op: 6-12-2006
Berichten: 274
|
| Geplaatst: Vr Okt 19, 2007 4:16 pm Onderwerp: |
|
|
Wat een gedoe, dat is toch allang bekend
Net als die filmpjes van vroeger van "nasa hacking" tjonge jonge |
|
| Naar boven |
|
|
Eddy Dean
Geregistreerd op: 15-12-2006
Berichten: 203
Woonplaats: /home/arno
|
|
| Naar boven |
|
|
UnDeRWorLd ScRipTeR
Geregistreerd op: 4-12-2006
Berichten: 797
Woonplaats: Utrecht
|
| Geplaatst: Zo Okt 21, 2007 6:15 pm Onderwerp: |
|
|
| Webwereld schreef: | | Beveiligingsspecialist Jacco van Tuijl claimt dat... |
Lol klinkt goed 
Wel goed voor de publiciteit  gezien er ook een link tussen staat naar RootX.
_________________
| UnDeRWorLd ScRipTeR schreef: | | Het verleden is niet wat het geweest is. |
|
|
| Naar boven |
|
|
Modjo
r00t
Geregistreerd op: 3-12-2006
Berichten: 76
|
| Geplaatst: Zo Okt 21, 2007 8:19 pm Onderwerp: |
|
|
Dat ziet er wel goed uit 
_________________
If there is a way out, there must be a way in! |
|
| Naar boven |
|
|
ciri
Geregistreerd op: 6-12-2006
Berichten: 4
|
| Geplaatst: Zo Nov 04, 2007 8:51 pm Onderwerp: |
|
|
| Pas maar beter op met zo'n links te posten op je community alvorens je ermee geconnecteerd wordt. Trust me on that one . |
|
| Naar boven |
|
|
Koen
Geregistreerd op: 5-12-2006
Berichten: 163
Woonplaats: A'doorn
|
| Geplaatst: Ma Nov 05, 2007 11:53 pm Onderwerp: |
|
|
Ik lees net de posts een beetje door, goed werk jacco!
Het is toch echt triest dat je ziet dat de overheid belangrijke projecten uit staat aan bedrijven die amper benul hebben waar ze mee bezig zijn... bij projecten waar veiligheid een gigantische eis is gebruik je gewoon weg geen php, mysql of welk ander opensource product dan ook tenzij je echt weet waar je mee bezig bent! J2EE en .NET zijn 2 producten die sinds hun oprichting de ontwikkelaar er toe helpen de I/O veilig* via business objects te laten gaan en zelfs hier worden soms lekken in gevonden!
Ik hoop dat de overheid in de toekomst zorgvuldiger omgaat met het uitbesteden van projecten, anders ..... |
|
| Naar boven |
|
|
OpenMind
Geregistreerd op: 3-12-2006
Berichten: 191
|
| Geplaatst: Di Nov 06, 2007 1:20 am Onderwerp: |
|
|
| Beetje erg generaliserend hoor, 'of welk ander opensource product dan ook'. |
|
| Naar boven |
|
|
vampyr
Geregistreerd op: 9-1-2007
Berichten: 254
|
| Geplaatst: Di Nov 06, 2007 6:47 pm Onderwerp: |
|
|
| Koen schreef: | | of welk ander opensource product dan ook |
Riiight, dus we gaan opeens de nieuwste telg proprietary software op servers draaien, dat is een stuk veiliger en stabieler. Vista anyone? 
_________________
There is no stronger drug than reality,
Twist and change, time is nothing, regret everything. |
|
| Naar boven |
|
|
Nowhereman
Geregistreerd op: 14-12-2006
Berichten: 83
|
| Geplaatst: Di Nov 06, 2007 8:45 pm Onderwerp: |
|
|
| Koen schreef: | Ik lees net de posts een beetje door, goed werk jacco!
Het is toch echt triest dat je ziet dat de overheid belangrijke projecten uit staat aan bedrijven die amper benul hebben waar ze mee bezig zijn... bij projecten waar veiligheid een gigantische eis is gebruik je gewoon weg geen php, mysql of welk ander opensource product dan ook tenzij je echt weet waar je mee bezig bent! J2EE en .NET zijn 2 producten die sinds hun oprichting de ontwikkelaar er toe helpen de I/O veilig* via business objects te laten gaan en zelfs hier worden soms lekken in gevonden!
Ik hoop dat de overheid in de toekomst zorgvuldiger omgaat met het uitbesteden van projecten, anders ..... |
Zeker net je MCSE gehaald ofzo?
Tis makkelijk om iets af te kraken met generalisaties en overdreven statements, kijk maar:
OpenSource == vuln volgens jou... dat houdt dus in dat jij dus al je veiligheid in de handen van prorietary software legt? Lekker slim, je ziet niet wat er onder water allemaal gebeurd met jouw gegevens. Die applicaites worden doorgaans geschreven door bedrijven die winst willen maken middels marketing en daar geen enkel middel voor schuwen, zelf een regering omkopen gaat onze vrienden uit Redmond niet te ver. En die vertrouw jij met al je privé spullen? -sterkte.
Ik zet neem m'n kansen wel met software die ik zelf kan checken op bugs en zelf kan fixen waar dat nodig is. En mocht er dan eens een gat gevonden worden dat ik niet zelf kan patchen dan hoef ik niet tot 'patch tuesday' (of tot de hel dichtvriest) te wachten op een patch.
Daarnaast doe jij een aanname die ongelofelijk lomp is, net alsof OSS door een stelletje hobby-bobs wordt geschreven. Voor de meeste projecten werken mensen die die een behoorlijk aanzien hebben als programmeur en die code kunnen waarbrogen. Ik durf zonder meer OSS in te zetten binnen grote bedrijven (en doe dat ook geregeld), vooral op punten waar je veiligheid nodig hebt.
_________________
0wn the day |
|
| Naar boven |
|
|
vampyr
Geregistreerd op: 9-1-2007
Berichten: 254
|
| Geplaatst: Wo Nov 07, 2007 10:03 am Onderwerp: |
|
|
Bovendien is closed-source altijd security trough obscurity. Wat IMO altijd een slecht idee is.
Waarom worden er anders altijd zo veel bugs gevonden in windows?
Btw, voor iedere goede programmeur in de industrie vind je er minstens 1 die twee keer zo goed is als hobbyist.
_________________
There is no stronger drug than reality,
Twist and change, time is nothing, regret everything. |
|
| Naar boven |
|
|
Koen
Geregistreerd op: 5-12-2006
Berichten: 163
Woonplaats: A'doorn
|
| Geplaatst: Wo Nov 07, 2007 8:21 pm Onderwerp: |
|
|
a neen, jullie begrijpen me verkeerd ( maar klopt openmind, mn opmerking was idd generaliserend, sorry daarvan )
**Ik heb namelijk een fout gemaakt in me post, met opensource duide ik op free software.**
Dit is geen zoveelste microsoft fanboy praat. Dit gaat erom dat opensource meestal een gevaar blijkt te zijn omdat je geen support hebt van een commercieel bedrijf (als MS).
Als voorbeeld: Het maken van product X kan je compleet zelf doen met de grote risico's beveiligings lekken te creeren zonder dat je het door hebt (hoe goed je ook bent, iedereen maakt zn struikels). Nu kan je een kant en klaar pakket nemen die dit voor je regelt, dit pakket is vaak vele honderden duizenden keren gebruikt, waarbij 99,9 procent van de lekken en risico volle punten al zijn geconstateerd en opgelost. Daarnaaast hebben aan dit kant en klare pakket zat ontwikkelaars met veel meer ervaring dan jij of ik gewerkt. Deze paketten vind je zowel opensource als commercieel. Wat is nu het gevaar bij opensource? juist er zit geen geld achter en niemand weet wie de verantwoordelijkheid krijgt mocht er toch doormiddel van dit pakket iets fout gaan.
Bij ons op kantoor werken we veel met commerciele producten en we doen er ook goede zaken mee. Mochten wij op een probleem stuiten die onze producten in gevaar brengt of wat dan ook en het komt door een van de commerciele producten.... geloof mij maar, je hoeft maar naar je licentie te wijzen en onze vrienden uit Redmond staan gelijk aan de deur (In het soort van spreken dan).
Ik zeg niet dat opensource producten slecht of onveilig zijn, in tegendeel. ze blijken juist vaker veiliger te zijn dan de meeste commerciele concurerende producten. Toch is het vaak gebleken dat het ontbreken van de support en van een licentie (en dus ook veel zekerheid) een groot probleem kan vormen voor organisaties |
|
| Naar boven |
|
|
|
FAQ
Zoeken
Gebruikerslijst
Gebruikersgroepen
Registreer
Profiel
Log in om je privé berichten te bekijken
Inloggen
