De titel van je posting is niet in overeenstemming met wat je later
schrijft.
Als je een exploit vindt (op webserver-software of een web-
development-tool) kun je die melden bij de ontwikkelaars van de
software waar de exploit betrekking op heeft.
Als het om een XSS vulnerability op een website gaat, zou ik dat
melden aan de webmaster van het betreffende domein. (webmaster@domain.com)

Als je het publiek stelt wordt dat uiteraard niet altijd in dank
afgenomen...

Je kan natuurlijk gewoon proberen de eigenaar van die site
te waarschuwen....

Wie kan ik asap berijken bij de regering/justitie/ministeries?
ivm XSS en mogelijk ook SQL injection

Greetingz,
Jacco

Govcert.nl

Ik heb gemaild naar [email]info@govcert.nl[/email]

Greetingz,
Jacco

het eerst ministerie heeft al gebeld.

Greetingz,
Jacco

En wat zeiden ze? Misschien zoiets als "We weten waar je huis woont.".

Of gingen ze er serieus op in?

Door de verantwoordelijk van een een van de ministeries is
serieus geluisterd. Maar door de ministeries waarvoor
informatie beveiliging erg belangrijk is en beveiliging
tevens hun vak is is nog niet gereageerd.

Govcert heeft nu ook gereageerd op de 10tallen
kwetsbaarheden die ik aan hun heb gerapporteerd

Greetingz,
Jacco

Het was misschien toch niet handig hierover op dit forum te berichten.
Je geeft nu al aan dat het websites van overheden betreft... Zijn die
overheden misschien niet zo van gecharmeerd... Je doet dan
weliswaar geen full disclosure, maar toch.

Ik wist anders niet wie ik hier over moest informeren. Van
vrijwel alle [email]webmaster@domein.nl[/email] kreeg ik een mailtje terug
dat de email niet af te leveren was op een na.

Ik had het ze ook allemaal persoonlijk willen vertellen
vandaag op het govcert symposium maar daar was naar zeggen
van govcert geen plek voor mij.Ik zag gewoon geen andere
weg.Sorry als ik sommige diensten in verlegenheid heb
gebracht. Dit hebben ze imo overigens alleen maar aan hun
eigen nalatigheid te danken.

Overigens hoorde ik van bronnen dat zij met volledige
afdelingen aanwezig mochten zijn op het symposium terwijl
govcert mij heeft verteld dat van iedere organistie maar
maximaal 2 mensen konden komen en dat het alleen voor leden
toegankelijk was.

Ik denk dat ze van govcert niet helemaal eerlijk zijn
geweest tegen mij en gewoon liever niet hadden dat ik
deelnam. Dat hadden ze dan gewoon mogen zeggen tegen mij.
Misschien omdat ik in het verleden wat (imo terecht) kritiek
heb geleverd op govcert en de overheid (oa hier op het forum).

Mijn kritiek van destijds rond de stemcomputers word
overigens nu erkend door een onafhankelijke commisie die
kort geleden met hun adviezen zijn gekomen.
Ze zouden bij govcert eens over hun trots heen moeten stappen.

Greetingz,
Jacco

SQL injection blijkt niet mogelijk.
Nader contact heeft mij doen besluiten geen fulldisclosure
van de XSS kwetsbaarheden te doen omdat ik de goede relatie
met de verschillende ministeries in stand wil houden.

Greetingz,
Jacco

Meneer van Tuijl: U wordt beroemd!

http://www.webwereld.nl/articles/48359/-overheidssites-vatbaar-voor-
xss-aanval-en-sql-injectie-.html

grappig hoe je hier vraagt wat je moet doen en dan op dat rootx forum
gaat lopen posten. het komt deels een beetje over als aandachtzoekerij.

Toch wel weer triest dat de overheid niks zelf kan
'pentesten' of beveiligen, en de jeugd dit altijd weer moet
doen.

Nou je bent niet de enige: http://hackers-project.info/phpBB2/viewtopic.php?t=91

Beetje input filtering op websites is er tegenwoordig niet
meer bij. :S

Man, bijna elke website is wel kwetsbaar voor XSS of Session
Hijacking. En dan zijn er ook nog zat waarbij de
mogelijkheid tot SQL injection nog steeds aanwezig is.

Alsof er nog niet genoeg info is op het internet om je daar
tegen te beveiligen.

je kunt mij berijken, zal mijn rekening nummer wel geven.

(grapje, ben zelf ook geen taal wonder)

ok, en wat zou jou dan in godsnaam zo speciaal maken dat jij
wel zou mogen komen als niet lid ?

Ik vind je een beetje zielig eerlijk gezegt. Zeker nog
steeds geen baan he! :) Moet je vooral zo door gaan met die
aandachttrekkerij. Beetje jammer van security.nl dat ze hier
zo in meegaan.....

"Beetje jammer van security.nl dat ze hier zo in meegaan....."

Volledig terecht. De websites waarover het gaat hebben onder meer
betrekking op nationale veiligheid, en het is een schande dat eenieder
daar zomaar binnen kan komen via simpele cross-site scripting / sql
injection.

Jammer dat het niet verstandig is om hier publiekelijk verder
inhoudelijk al te diep op in te gaan, want ik denk dat mensen met
verbazing zouden staan te kijken als men wist wat voor gevoelige
operationele informatie door deze beveiligingsfouten op straat ligt.

Input filtering is voor mensen die niet kunnen programmeren...

Kun je me dit wat beter uitleggen waarom dit zou zijn? Input
filtering is toch gewoon nodig? Ik bedoel overigens met
input filtering, niet input weg laten, maar op de juiste
manier "escapen" en ermee om te gaan. Iets als parametrized
queries in SQL, htmlentities gebruiken, mime injection
tegengaan, als parametrized queries niet werken op je DBMS,
dan SQL injection tegen gaan door te escapen.

Ben eigenlijk niet goed thuis in de materie om websites te beveiligen,
maarhoe veilig is eigenlijk een flash site.

Waar liggen hier de gevaren op de loer ??

Input filtering is voor mij het filteren van input, alsin het weglaten van
potentieel gevaarlijke characters. De kunst is om te zorgen dat data op de
juiste manier geinterpreteerd wordt. Het filteren van data wordt dan
overbodig, zeker als het gaat om veiligheid. Je gaf zelf al aan op welke
wijze je dit voor elkaar kunt krijgen... Het liefst geimplementeerd in een
mooi MVC framework waarbij dit allemaal automagisch wordt gedaan
natuurlijk ;)

wat is precies een "flash site"? op elke site waar je zelf
zaken kan beïnvloeden bestaat de mogelijkheid tot
manipulatie als die niet aan de achterkant netjes wordt
afgehandeld.