Intranet, printers en routers via JavaScript te hacken
Beveiligingsonderzoekers hebben een manier gevonden om met JavaScript een intern netwerk aan te vallen. Het kwaadaardige JavaScript kan in een normale webpagina verstopt worden en draait als de pagina bekeken wordt.
"We hebben een techniek ontdekt om een netwerk te scannen, en alle webdevices te merken en commando's te geven. Deze techniek kan netwerken scannen die via firewalls beschermd zijn, zoals bedrijfsnetwerken" zegt engineer Billy Hoffman.
De aanval kan vergaande gevolgen hebben. Zo is het mogelijk om een netwerk te scannen en een bepaald model router te vinden. De aanvaller kan dan het commando geven om draadloos netwerken in- en de encryptie uit te schakelen. Ook is het mogelijk om via een interne server verdere aanvallen uit te voeren.
"Je browser kan gebruikt worden om een intern netwerk te hacken" zegt CTO Jeremiah Grossman. De JavaScript netwerkscanner zal volgende week tijdens de Black Hat security conferentie in Las Vegas gedemonstreerd worden. "We laten zien hoe je een internet IP-adres kunt krijgen, hoe je het interne netwerk kunt scannen en hoe je toegang tot DSL routers krijgt. Als we het intranet via de browser aanvallen, nemen we de browser volledig over".
gebruik van AJAX methodes, maakt natuurlijk ook dat men meer
gaat zoeken in de mogelijkheden van JavaScript (ECMA-script
om precies te zijn).
AJAX is gebaseerd op meer interactie tussen de browser en de
server terwijl de gebruiker er zo min mogelijk van merkt. Op
deze manier kun je natuurlijk ook meer gegevens via de
browser verkrijgen zonder dat dat opvalt.
Een heel netwerk scannen vind ik dan wel ver gezocht, maar
als het blijkt te kunnen, vind ik het wel interessant.
Om het goed te omschrijven wordt hier dus heftig een
fingerprint sessie gedaan voor alles binnen je netwerk via
JavaScript. Ja, dat is wel gevoelig dan.
http://www.claimyourrights.eu/
http://www.thinkfree.ca/
- Unomi -
aanduiden zoals met ActiveX al jaren het geval is!
Waardoor er meer compatibiliteitsproblemen ontstaan tussen
verschillende besturingsystemen / browsers.
Dit is een niet onafhankelijk en representatief nieuwsbericht /
onderzoek maar een regelrechte 'aanval' van M$ vriendelijke
"onderzoekers" op de OpenSource gemeenschap.
Hiermee wil M$ de compatibiliteit verder ondermijnen om daarmee
ongemerkt (of door irritatie) de massa aan zich te binden.
BB
Ben net de laatste tijd een beetje aan het rommelen met
FreeBSD en Linux Slackware, omdat ik met Windows niet verder
wil, nu krijgen we dit.
De laatste tijd lees ik steeds vaker over ernstige lekken,
100% veilgheid bestaat niet, natuurlijk, maar ik heb de
indruk dat het steeds onveilger wordt (dat is op zich niks
nieuws), maar dat wel in een steeds rapper tempo.
Ook al begeef je je op Internet met een veilger
besturingssysteem en een veiliger browser, of met een
onveilge Windows 98 waar Internet Explorer helemaal
uitgesloopt is, en meer (daardoor voor een Windows erg veilg
geworden).
Ik zit nu zo'n 10 jaar op Internet, de laatste jaren was het
al een zooitje, ben bang dat het nog veel erger gaat worden,
helaas.
Manuel
malware is still cutting-edge, and nobody really knows what you
can do with it," he said. "Liken it to the early days of an e-mail
virus--that's where we're at now. I think we're going to see (many)
more attacks."
Valt allemaal best mee! (stemming makerij)
B
De laatste tijd lees ik steeds vaker over ernstige lekken,
100% veilgheid bestaat niet, natuurlijk, maar ik heb de
indruk dat het steeds onveilger wordt (dat is op zich niks
nieuws), maar dat wel in een steeds rapper tempo.
Ik denk dat de trend te vinden is in het feit dat op een
grotere schaal mensen meer kennis en ervaring opdoen van de
technieken. Zie het als de autotechniek. In het begin wist
men nog niet dat je je auto op een gegeven moment via een
computer kon tunen. Immers een computer was er nog niet.
Er waren ook weinig mensen die wat van auto's afwisten. Nu
zijn er dus meer mensen die van auto's afweten en er de
mooiste uitvindingen tot stand brengen.
Internet is nog niet zo lang mainstream en de mensen hebben
dus ook nog geen jarenlange ervaring van van alles. De
kennis wordt meer en meer gedeeld en men gaat meer en meer
zelf experimenteren met de opgedane ervaring. Die
experimenten uiten zich dan in virussen, aanvallen en weet
ik het niet meer. Dus neemt het gevoel van onveiligheid toe,
omdat er meer en meer aanvallen plaatsvinden.
Het niveau van de aanvallers wordt meer verdeeld en neemt
dus in kennis toe.
http://www.claimyourrights.eu/
http://www.thinkfree.ca/
- Unomi -
De laatste tijd lees ik steeds vaker over ernstige lekken,
100% veilgheid bestaat niet, natuurlijk, maar ik heb de
indruk dat het steeds onveilger wordt (dat is op zich niks
nieuws), maar dat wel in een steeds rapper tempo.
Ik denk dat de trend te vinden is in het feit dat op een
grotere schaal mensen meer kennis en ervaring opdoen van de
technieken. Zie het als de autotechniek. In het begin wist
men nog niet dat je je auto op een gegeven moment via een
computer kon tunen. Immers een computer was er nog niet.
Er waren ook weinig mensen die wat van auto's afwisten. Nu
zijn er dus meer mensen die van auto's afweten en er de
mooiste uitvindingen tot stand brengen.
Internet is nog niet zo lang mainstream en de mensen hebben
dus ook nog geen jarenlange ervaring van van alles. De
kennis wordt meer en meer gedeeld en men gaat meer en meer
zelf experimenteren met de opgedane ervaring. Die
experimenten uiten zich dan in virussen, aanvallen en weet
ik het niet meer. Dus neemt het gevoel van onveiligheid toe,
omdat er meer en meer aanvallen plaatsvinden.
Het niveau van de aanvallers wordt meer verdeeld en neemt
dus in kennis toe.
- Unomi -
laatste tijd harder dan ik verwacht had, en dat Linux met
Firefox 1.5.0.4 (+Java) ook kwetsbaar is verontrust me.
Kunnen we over een jaar überhaupt nog wel veilig het
Internet op? Om maar iets te zeggen...
Als Internetten straks, ook al gebruik je veilge(re)
besturingssystemen, en een veilge(re) browser, een extensie
waarmee je plugins aan- en uit kunt schakelen:
[url=http://www.gozer.org/mozilla/extensions/]Plugin
Manager[/url], een extensie om Java/Javascript met 1 klik
aan en uit te zetten:
[url=http://quickjavaplugin.blogspot.com/]QuickJava[/url].
Als ondanks dat surfen straks een potje Russische roulette
wordt, dan wordt het misschien eens tijd voor een andere hobby.
toegepast;
XSS is een prima truuk hiervoor.
grotere schaal mensen meer kennis en ervaring opdoen van de
technieken.
vooral dat technieken veelvuldiger niet meer juist worden
toegepast. En dat is niet per se door mensen die kwaad
willen. Mensen die iets maken gebruiken vaker verkeerde
technieken voor het verkeerde doel, wat het onveiliger maakt
wanneer toegestaan. Misschien is dat gewoon een rare manier
van interessant doen.
Neem bijvoorbeeld de constructie:
<a
href="javascript:document.forms['zoekForm'].submit();">OK</a>
op vandale.nl
technieken voor het verkeerde doel, wat het onveiliger maakt
wanneer toegestaan.
Mensen die iets maken gebruiken vaker verkeerde
technieken voor het beoogde doel, wat het onveiliger maakt
wanneer toegestaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
