Nieuws
image

Website Australische censuurcommissie gehackt

vrijdag 27 maart 2009, 11:52 door Redactie, 6 reacties

De website van de Australische censuurcommissie, beter bekend als Classification Board, is vanwege een hackaanval uit de lucht gehaald. Aanvallers wisten vermoedelijk via een niet verholpen Cross-Site Scripting lek uit 2008 content op de pagina te plaatsen. Daarin waarschuwen ze voor de censuur die de Australische overheid probeert door te drukken, allemaal onder het mom van kinderbescherming.

"De site bevat informatie over de besturen die het recht hebben om onze vrijheid te controleren. De Classification Board heeft niet alleen het recht om content te classificeren, maar ook het recht om te bepalen wat wel en niet is toegestaan en content voor het publiek te verbieden", aldus de bekladders van de website. Als reactie werd de site uit de lucht gehaald, maar het probleem is altijd nog niet verholpen.

Vertrouwen
De aanval doet sommige Australiërs afvragen in hoeverre de organisatie wel geschikt voor haar taak is. "Tot zover heeft nog niemand de verantwoordelijkheid opgeëist, maar dat hoeft ook niet. Ze hebben laten zien dat onze overheid ons vraagt om vertrouwen te hebben in een organisatie die niet eens de eigen website kan beschermen, laat staan kinderen."

Reacties (6)
27-03-2009, 13:15 door Anoniem
*Update* I’ve changed the term ‘hacker’ to be ‘cracker’ as this is a more accurate term in this case. A hacker is someone who can create innovative solutions to problems using creativity. A cracker is somebody who deliberately intrudes, harms or defaces in an electronic environment.

Zulk soort updates zou ik ook graag willen zien hier op Security.nl.
Hulde aan die Australische blogger.

On-topic: Die hele wetgeving daar is een typisch geval van digibetisme bij babyboomers. Ondertussen tel ik af want het duurt niet lang meer voordat hier iemand achter zijn Volkskrant vandaan kruipt en er een onbeheersbare, oncontroleerbare en onuitvoerbare wet doorheen drukt mbt Internetregelgeving.

Tiktoktiktok....
27-03-2009, 13:22 door Anoniem
Kan iemand mij uitleggen hoe ze dmv XSS een artikel kunnen plaatsen op die website?
Is dit niet SQL injection?
Of gebruiken ze xss om de normale page flow te onderbreken en zo eigen (bv php) code in te voegen om zo queries te executen op de database? Ik snap het niet.
27-03-2009, 14:22 door Anoniem
Door AnoniemKan iemand mij uitleggen hoe ze dmv XSS een artikel kunnen plaatsen op die website?
Is dit niet SQL injection?
Of gebruiken ze xss om de normale page flow te onderbreken en zo eigen (bv php) code in te voegen om zo queries te executen op de database? Ik snap het niet.
Met persistente XSS kan het. In plaats dat iedere gebruiker zelf een malafide url moet gebruiken waarin XSS code zit verwerkt heeft de aanvaller dat al een keer gedaan. De code daarvan is in opgeslagen informatie als een forumpost gekomen en blijft daar dus in staan. Iedereen die een pagina oproept waarin die code wordt weergegeven krijgt dan ook de xss code mee, die de browser dan uitvoert.

Ik vraag me echter af of het wel XSS was. De xss die eerder in de pagina was gevonden was van het normale soort waar iedere gebruiker keer op keer op keer eerst een malafide url waarin xss-code zat moest gebruiken. Er is tot nu toe geen aanwijzing dat het om xss ging. Verslaggevers halen tot nu toe die xss van vroeger aan om aan te geven dat dat er toen een keer al in zat, maar een relatie mee kan _niet_ gelegd omdat er tot nu toe geen bron is opgevoerd die een relatie bevestigd.
27-03-2009, 16:17 door Anoniem
Hmmm bewijst de verwijzing naar http://www.xssed.org/mirror/46109/ overigens gewoon niet dat XSSED.ORG een xss probleem heeft. Lijkt er verdacht veel op

En ja, classification.gov is via een sql injection gedefaced.
27-03-2009, 17:42 door spatieman
geweldig!!
ook daar weer een overheid die de boel niet in orde hebt..
28-03-2009, 03:07 door Paultje
Wikileaks heeft nog wat te doen denk ik...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure