Hackers kraken toegangskaarten voor MacWorld conferentie
Creatieve hackers hebben de MacWorld conferentie, die vorige week in San Francisco werd gehouden, gratis bezocht. Via een lek in de website was het mogelijk om zonder enige kosten VIP toegangskaarten ter waarde van 1695 dollar te bemachtigen. Verschillende hackers zouden het lek misbruikt hebben, maar slechts één lichtte de organisatie in.
Volgens een beveiligingsexpert is de MacWorld hack een goed voorbeeld van beveiligingsproblemen met Web 2.0 applicaties. IDG probeerde de website interactiever te maken door een deel van de validatie van de gebruiker op zijn of haar PC te laten plaatsvinden. Dit gebeurde via het versturen van JavaScript via de browser, waardoor hackers konden zien hoe de "priority code", die voor de gratis toegang zorgde, geverifieerd werd.
De lijst met kortingscodes was versleuteld met behulp van MD5 hashes, maar was vrij eenvoudig te kraken, deels omdat de website hiervoor belangrijke informatie verstrekte. In minder dan 10 seconden was het dan ook mogelijk om de code voor een gratis platinum pass te krijgen. Een uitleg van de hack wordt op deze pagina gegeven.
is de eigenaar zich er kennelijk van bewust dat hij zijn
toegangskaarten verschrikkelijk overprijst aan de man brengt
en de schade dus wel kan opvangen. Anders is het wel een
heel erg onprofessionele beslissing geweest om zo peperdure
kaarten aan de man te brengen.
van beveiligingsproblemen met Web 2.0 applicaties.
hmmmzz..... het is eerder een teken dat egaal via welke methode je
implementeerd... er is bijna altijd een voorbeeld te geven van een foute
implementatie .... dit zegt _niets_ over web2.0 alleen dat men een onveilige
implementatie heeft gedaan met behulp van web 2.0 technieken .....
autorisatie doe je _nooit_ op een ongecontroleerde omgeving zoals de
client is.
zoek naar gratis fietsen, WII's, gameboys enz enz enz.
afstruinen, op
zoek naar gratis fietsen, WII's, gameboys enz enz enz.
Uhhh ooit van een opleiding en werk gehoord?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!