/dev/null - Overig

Kranten sites zijn ook niet zo goed beveiligd

13-08-2009, 21:50 door Enieh, 8 reacties
Na alle heisa in "de media" rond overheidssites, heeft een brave huisvader (dus niet ondergetekende) maar eens een avondje voor wat sites van "de media" zelf uitgetrokken.

Het resultaat:

Trouw: http://www.flickr.com/photos/bertboerland/3815255735/
Volkskrant: http://www.flickr.com/photos/bertboerland/3814933143/

In het voorbijgaan zijn ook de VPRO (http://www.flickr.com/photos/bertboerland/3815356073/) en TON (http://www.flickr.com/photos/bertboerland/3815278713/) aan XSS ten prooi gevallen

Ik raad gevoelige zielen (met name die last hebben van Ashleyitis) aan de ogen af te wenden.

Hoewel erg leuk toont het maar weer eens aan hoe wijd verspreid XSS is. Een vergelijkbare expeditie naar willekeurige andere sites had waarschijnlijk eenzelfde resultaat gehad.
Reacties (8)
14-08-2009, 11:08 door Xnoniem
[Verwijderd]
14-08-2009, 14:17 door Thijzzz
aha, dus een XSS staat het toe dat ik een website bezoek, een lange url-toevoeging maak, en dan iets anders zie dan de website bedoelde.

dus een mailtje dat ik vanuit Rita spoof, kan een link bevatten naar haar website, waar ze dan om geld vraagt, (dat ik in de url geinjecteerd heb), zodat iedereen geld overmaakt naar mij. klopt dat ongeveer?

hm...
handig...
14-08-2009, 23:57 door pietjuhh
Door Thijzzz: aha, dus een XSS staat het toe dat ik een website bezoek, een lange url-toevoeging maak, en dan iets anders zie dan de website bedoelde.

dus een mailtje dat ik vanuit Rita spoof, kan een link bevatten naar haar website, waar ze dan om geld vraagt, (dat ik in de url geinjecteerd heb), zodat iedereen geld overmaakt naar mij. klopt dat ongeveer?

hm...
handig...

Dat is juist ja, maar er zijn nog meer mogelijkheden die kunnen worden uitgebuit zoals het aanmaken en daarna stelen van een Cookie. Misschien is dat nog wel veel gevaarlijker (in sommige gevallen).

Hoofdtopic: Als je zin en tijd hebt moet je de website van de VN (UN.org) eens nachecken, er zijn al een paar jaar flink wat lekken bekend die maar niet worden gedicht. Ikzelf heb meerdere XSS vurns gevonden en zelfs twee GET vars die een SQL Injectie vurn bevatten! Er zijn zoveel (bekende) websites op te noemen die een XSS of SQL injection vulnerability hebben; maar daarbij moet je niet vergeten dat je met een groot percentage bijna niets kunt (i.v.m. o.a. permissies).
18-09-2009, 09:01 door H.King
XSS gaat verder dan alleen cookie's stelen. Je kunt javascript invoeren dus ook gewoon zodra er op een submit knopje wordt gedrukt de username + wachtwoord veld laten doorsturen naar een php script op een andere server die de gegevens logged.Dan hoef je ook geen sessie over te nemen.En je kunt nog veel meer van dit soort ongein uithalen als je maar een beetje creatief bent, denk ook aan clickjacking en XSS proxy's etc.....

veel websites denken ook nog dat magic quotes ze ook wel tegen XSS kan beschermen, wat dus NIET het geval is want daar is vrij simpel om heen te komen.
18-09-2009, 09:03 door H.King
edit : dubbel post
18-09-2009, 11:12 door Anoniem
En met JavaScript kan je adware popups tonen.
XSS is van de meest gevaarlijke maar onderschatte veiligheidslekken.

Oh, ik kan inhoud plaatsen. So what.
Het gevaar schuilt erin dat je van alles op die pagina kunt plaatsen, en dat wil je liever niet.

Zelf ben ik slechts twee keer slachtoffer geworden van een XSS lek.
En die had ik gelukkig zelf ontdekt voor ze konden worden misbruikt.
18-09-2009, 22:29 door Anoniem
wees creatief en een in eerste instantie onschuldig XSS lek kan in eens grote gevolgen hebben door dat de "same origin policy" wordt omzeild.
Je kunt bijvoorbeeld een reflected XSS gebruiken om een banner te injecteren.
Als deze banner op een druk bezochte website getoond zou worden,zou je bijvoorbeeld met javascript XMLHttpRequest een bruteforce attack kunnen laten uitvoeren door de bezoekers van de drukke website op een login van de website met het xss lek.

Greetingz,
Jacco
20-09-2009, 11:49 door Anoniem
"Na alle heisa in "de media" rond overheidssites, heeft een brave huisvader (dus niet ondergetekende) maar eens een avondje voor wat sites van "de media" zelf uitgetrokken. "

Ik vind het toch minder relevant of een media site kwetsbaar is, dan of overheidswebsites zoals bijvoorbeeld het EPD e.d. kwetsbaar zijn waardoor gegevens van burgers kunnen uitlekken (tenzij ook de abbonementen database van een krant door een lek te benaderen is).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.