Security Professionals
- ipfw add deny all from eindgebruikers to any
Exploit school site
25-09-2009, 12:51 door Anoniem, 18 reacties
Beste lezer,
Een vriend en ik kwamen een exploit tegen op onze interne school website waardoor xss mogelijk is en dus via een externe js in te laden het inlog scherm na te bootsen en dus gegevens van andere school gebruikers door te sturen naar een kwaadwillig persoon.
Nu vroegen wij ons af is het verstandig om dit aan te kaarten ? want door alle dingen zoals je wel vaker leest dat leerlingen worden aangeklaagd terwijl ze juist iets aankaarten wat grote gevolgen kan hebben.
Wat zeggen de pro's hier over en wat zouden jullie in ons geval doen?
Groeten,
2x Anoniem
Een vriend en ik kwamen een exploit tegen op onze interne school website waardoor xss mogelijk is en dus via een externe js in te laden het inlog scherm na te bootsen en dus gegevens van andere school gebruikers door te sturen naar een kwaadwillig persoon.
Nu vroegen wij ons af is het verstandig om dit aan te kaarten ? want door alle dingen zoals je wel vaker leest dat leerlingen worden aangeklaagd terwijl ze juist iets aankaarten wat grote gevolgen kan hebben.
Wat zeggen de pro's hier over en wat zouden jullie in ons geval doen?
Groeten,
2x Anoniem
Reacties (18)
25-09-2009, 13:05 door
SirDice
Als je vreest voor gevolgen zou je het natuurlijk anoniem kunnen melden.
25-09-2009, 13:10 door
MAO2008
Zeker aankaarten want eerlijkheid duurt het langst. Indien er iets op het schoolnetwerk gebeurt en men vindt in logfiles dat jullie "in de buurt" zijn geweest heb je meer ellende dan het nu bij b.v. de mentor (wat toch een vertrouwens persoon moet zijn) aan te kaarten.
Ik kan uit ervaring spreken, heb zelf een zoon die alle uithoeken van m.n. beveiliging en hacken moet uitproberen met alle gevolgen van dien :-)
Succes
Ik kan uit ervaring spreken, heb zelf een zoon die alle uithoeken van m.n. beveiliging en hacken moet uitproberen met alle gevolgen van dien :-)
Succes
Ik bedank alle mensen voor de reactie's en ga met mijn vriend overleggen om het anoniem te melden of te melden bij onze mentor.
Bedankt!
Bedankt!
Ik weet niet of je dit leest maar schrijf een anonieme brief en leg dit neer ongemerkt bij de beheerder van de site of bij je mentor
25-09-2009, 17:06 door
Preddie
als je het aangeeft ben je wettelijk strafbaar. En doe je een indirect bekenning van schuld.
Ik heb hier eerder mee te maken gehad, toen ben ik zelf bijna de dupe geworden van mijn eerlijkheid. Vanaf dat moment geef ik dit soort dingen niet meer aan tenzij ik zeker ben van mijn anonimiteit.
Ik heb hier eerder mee te maken gehad, toen ben ik zelf bijna de dupe geworden van mijn eerlijkheid. Vanaf dat moment geef ik dit soort dingen niet meer aan tenzij ik zeker ben van mijn anonimiteit.
25-09-2009, 19:20 door
Thasaidon
Ik zou proberen het anoniem aan te geven.
Schrijf een brief met jullie bevindingen, wat je evt adviseert en schuif dat bij je decaan of mentor onder de deur.
Schrijf een brief met jullie bevindingen, wat je evt adviseert en schuif dat bij je decaan of mentor onder de deur.
26-09-2009, 15:39 door
H.King
indd, ik denk dat hun niet eens het kwaad inzien van XSS. Daarbij toon je met XSS alleen de fout in het script aan je misbruikt het niet. Anders zou een slotenmaker die je erop wijst dat je voordeur niet veilig is ook gelijk een inbreker zijn. In mijn ogen onzin dat je aangeklaagd kan worden als je gewoon weg heel simpel vertelt dat XSS mogelijk is en je ze achtergrond informatie erover geeft en hoe te beveiligen.Als je laat zien hoe je een nep login op hun website zet komt het al heel anders over je als je het ze uitlegt en een onschuldig popup laat zien.Als je ze gewoon vertelt dat je denkt dat er misschien een fout op hun website zit en of je dat onder toezicht mag laten zien...dan doe je niks verkeerd en geven ze je waarschijnlijk toestemming om het te laten zien.
FAIL
Ze zien het vast weer als ongevraagd rondneuzen en een grote kans dat ze er niet eens iets mee doen (behalve de klokkenluiders als zondebok gebruiken)
Ze zien het vast weer als ongevraagd rondneuzen en een grote kans dat ze er niet eens iets mee doen (behalve de klokkenluiders als zondebok gebruiken)
27-09-2009, 12:50 door
oom agent
lekker gewoon die exploit gebruiken
en je te laat briefjes weg halen
(had ik ook gedaan in de 1e klas tot de 5e en nooit gemeld :)
en je te laat briefjes weg halen
(had ik ook gedaan in de 1e klas tot de 5e en nooit gemeld :)
27-09-2009, 21:44 door
Preddie
Door H.King: indd, ik denk dat hun niet eens het kwaad inzien van XSS. Daarbij toon je met XSS alleen de fout in het script aan je misbruikt het niet. Anders zou een slotenmaker die je erop wijst dat je voordeur niet veilig is ook gelijk een inbreker zijn. In mijn ogen onzin dat je aangeklaagd kan worden als je gewoon weg heel simpel vertelt dat XSS mogelijk is en je ze achtergrond informatie erover geeft en hoe te beveiligen.Als je laat zien hoe je een nep login op hun website zet komt het al heel anders over je als je het ze uitlegt en een onschuldig popup laat zien.Als je ze gewoon vertelt dat je denkt dat er misschien een fout op hun website zit en of je dat onder toezicht mag laten zien...dan doe je niks verkeerd en geven ze je waarschijnlijk toestemming om het te laten zien.
Je bent zo en zo fout als je dat aangeeft omdat de website/software gebruikt hebt op een andere manier waar het voor bedoelt is, dit is volgens wet in nederland strafbaar zou ver ik weer ...
als ze vragen je naam in te vullen in het venster dat daar voor bedoelt is en je stuur daar een string van 125 x A naar toe ben je inprincipe al fout bezig.
Stel dat je aangeeft waar de fout zit, dan is het makkelijk om die aangevraagde URL (in dit geval) die je gebruikt hebt, terug te zoeken in de weblogs en vervolgens te zien wat je nog uitgespookt hebt. Dat kan dan tevens als bewijs gebruikt worden tegen je. Ik zou daar dus ook erg mee oppassen....
Iedereen bedankt voor de reacties, we zijn er nog steeds niet uit wat we nou gaan doen.
Te bizar voor woorden dat men in 031 al zover is doorgeslagen dat zelfs een goed bedoelde waarschuwing je in de problemen kan brengen.
Helaas loop je door het te melden het risico in flinke problemen te komen terwel je slechts een beetje goodwill kan winnen.
Met flinke tegenzin is mijn advies om het te negeren
Helaas loop je door het te melden het risico in flinke problemen te komen terwel je slechts een beetje goodwill kan winnen.
Met flinke tegenzin is mijn advies om het te negeren
Mijn mening is ook dat je het, eventueel anoniem, moet melden. Dus een briefje schrijven met je bevindingen etc. etc. wat hier al eerder genoemd is.
Ik ben zelf werkzaam als systeembeheerder op een school en bij ons is de regel dat dergelijke meldingen zeer zeker gewaardeerd worden en dus zeker per definitie niet beschouwd worden als een strafbaar feit.
Succes met het nemen van je beslissing!
Ik ben zelf werkzaam als systeembeheerder op een school en bij ons is de regel dat dergelijke meldingen zeer zeker gewaardeerd worden en dus zeker per definitie niet beschouwd worden als een strafbaar feit.
Succes met het nemen van je beslissing!
29-09-2009, 19:37 door
Thasaidon
Ach...
nog even en ze pakken je op wegens drugsbezit als je met een klasgenoot over PHP aan het discussiëren bent...
de gemiddelde leraar/decaan/rector zal niet weten wat PHP is en het verwarren met PCP of GHB :-)
nog even en ze pakken je op wegens drugsbezit als je met een klasgenoot over PHP aan het discussiëren bent...
de gemiddelde leraar/decaan/rector zal niet weten wat PHP is en het verwarren met PCP of GHB :-)
07-10-2009, 08:58 door
H.King
hahahaha !! top reactie
verder :
reacties hier zijn overdreven deze mensen weten niet eens wat XSS is laats staan dat ze weten dat het strafbaar is. En probeer het maar eens een rechter uit te leggen wat de persoon in kwestie verkeerd heeft gedaan....die vraagt of er ergens is ingebroken wat niet het geval is en zal het dan op vrij spraak gooien.Ik bedoel beetje nuchter blijven denken doet wonderen mensen.
verder :
reacties hier zijn overdreven deze mensen weten niet eens wat XSS is laats staan dat ze weten dat het strafbaar is. En probeer het maar eens een rechter uit te leggen wat de persoon in kwestie verkeerd heeft gedaan....die vraagt of er ergens is ingebroken wat niet het geval is en zal het dan op vrij spraak gooien.Ik bedoel beetje nuchter blijven denken doet wonderen mensen.
Door H.King: hahahaha !! top reactie
verder :
reacties hier zijn overdreven deze mensen weten niet eens wat XSS is laats staan dat ze weten dat het strafbaar is. En probeer het maar eens een rechter uit te leggen wat de persoon in kwestie verkeerd heeft gedaan....die vraagt of er ergens is ingebroken wat niet het geval is en zal het dan op vrij spraak gooien.Ik bedoel beetje nuchter blijven denken doet wonderen mensen.
Ik denk dat het eerder zal gaan om de vraag die ongetwijfeld gesteld zal gaan worden door de school...verder :
reacties hier zijn overdreven deze mensen weten niet eens wat XSS is laats staan dat ze weten dat het strafbaar is. En probeer het maar eens een rechter uit te leggen wat de persoon in kwestie verkeerd heeft gedaan....die vraagt of er ergens is ingebroken wat niet het geval is en zal het dan op vrij spraak gooien.Ik bedoel beetje nuchter blijven denken doet wonderen mensen.
"En wat waren jullie met XSS aan het doen toen jullie dit opmerkte?"
Ik zou zeggen, het hangt een beetje van je/de school af, hoe die met vergelijkbare zaken omgaan.
Beginnen ze meteen te stijgeren, zonder te weten over het wat en hoe, dan zou ik zeggen meld het anoniem.
Zijn ze ontvankelijk voor dit soort op/aanmerkingen en/of heb je goed contact met 1 van de beheerders, dan zou ik het gewoon melden.
Ik werk zelf als beheerder op een mbo en heb dagelijks contact met studenten en bij ons is het "beleid" dat we dit soort dingen graag gemeld krijgen en er zal ook geen sanctie opstaan, zolang je niet willens en wetens de boel hebt zitten te slopen of gegevens bent gaan wijzigen.
Beginnen ze meteen te stijgeren, zonder te weten over het wat en hoe, dan zou ik zeggen meld het anoniem.
Zijn ze ontvankelijk voor dit soort op/aanmerkingen en/of heb je goed contact met 1 van de beheerders, dan zou ik het gewoon melden.
Ik werk zelf als beheerder op een mbo en heb dagelijks contact met studenten en bij ons is het "beleid" dat we dit soort dingen graag gemeld krijgen en er zal ook geen sanctie opstaan, zolang je niet willens en wetens de boel hebt zitten te slopen of gegevens bent gaan wijzigen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
