Security Professionals - ipfw add deny all from eindgebruikers to any

Exploit school site

25-09-2009, 12:51 door Anoniem, 18 reacties
Beste lezer,

Een vriend en ik kwamen een exploit tegen op onze interne school website waardoor xss mogelijk is en dus via een externe js in te laden het inlog scherm na te bootsen en dus gegevens van andere school gebruikers door te sturen naar een kwaadwillig persoon.

Nu vroegen wij ons af is het verstandig om dit aan te kaarten ? want door alle dingen zoals je wel vaker leest dat leerlingen worden aangeklaagd terwijl ze juist iets aankaarten wat grote gevolgen kan hebben.

Wat zeggen de pro's hier over en wat zouden jullie in ons geval doen?

Groeten,

2x Anoniem
Reacties (18)
25-09-2009, 13:05 door SirDice
Als je vreest voor gevolgen zou je het natuurlijk anoniem kunnen melden.
25-09-2009, 13:10 door MAO2008
Zeker aankaarten want eerlijkheid duurt het langst. Indien er iets op het schoolnetwerk gebeurt en men vindt in logfiles dat jullie "in de buurt" zijn geweest heb je meer ellende dan het nu bij b.v. de mentor (wat toch een vertrouwens persoon moet zijn) aan te kaarten.

Ik kan uit ervaring spreken, heb zelf een zoon die alle uithoeken van m.n. beveiliging en hacken moet uitproberen met alle gevolgen van dien :-)

Succes
25-09-2009, 14:29 door Anoniem
Ik bedank alle mensen voor de reactie's en ga met mijn vriend overleggen om het anoniem te melden of te melden bij onze mentor.

Bedankt!
25-09-2009, 15:41 door Anoniem
Ik weet niet of je dit leest maar schrijf een anonieme brief en leg dit neer ongemerkt bij de beheerder van de site of bij je mentor
25-09-2009, 17:06 door Preddie
als je het aangeeft ben je wettelijk strafbaar. En doe je een indirect bekenning van schuld.

Ik heb hier eerder mee te maken gehad, toen ben ik zelf bijna de dupe geworden van mijn eerlijkheid. Vanaf dat moment geef ik dit soort dingen niet meer aan tenzij ik zeker ben van mijn anonimiteit.
25-09-2009, 19:20 door Thasaidon
Ik zou proberen het anoniem aan te geven.
Schrijf een brief met jullie bevindingen, wat je evt adviseert en schuif dat bij je decaan of mentor onder de deur.
25-09-2009, 20:34 door Anoniem
Net alsof hun weten wat XSS is -.-
26-09-2009, 15:39 door H.King
indd, ik denk dat hun niet eens het kwaad inzien van XSS. Daarbij toon je met XSS alleen de fout in het script aan je misbruikt het niet. Anders zou een slotenmaker die je erop wijst dat je voordeur niet veilig is ook gelijk een inbreker zijn. In mijn ogen onzin dat je aangeklaagd kan worden als je gewoon weg heel simpel vertelt dat XSS mogelijk is en je ze achtergrond informatie erover geeft en hoe te beveiligen.Als je laat zien hoe je een nep login op hun website zet komt het al heel anders over je als je het ze uitlegt en een onschuldig popup laat zien.Als je ze gewoon vertelt dat je denkt dat er misschien een fout op hun website zit en of je dat onder toezicht mag laten zien...dan doe je niks verkeerd en geven ze je waarschijnlijk toestemming om het te laten zien.
26-09-2009, 15:43 door Anoniem
FAIL
Ze zien het vast weer als ongevraagd rondneuzen en een grote kans dat ze er niet eens iets mee doen (behalve de klokkenluiders als zondebok gebruiken)
27-09-2009, 12:50 door oom agent
lekker gewoon die exploit gebruiken

en je te laat briefjes weg halen

(had ik ook gedaan in de 1e klas tot de 5e en nooit gemeld :)
27-09-2009, 21:44 door Preddie
Door H.King: indd, ik denk dat hun niet eens het kwaad inzien van XSS. Daarbij toon je met XSS alleen de fout in het script aan je misbruikt het niet. Anders zou een slotenmaker die je erop wijst dat je voordeur niet veilig is ook gelijk een inbreker zijn. In mijn ogen onzin dat je aangeklaagd kan worden als je gewoon weg heel simpel vertelt dat XSS mogelijk is en je ze achtergrond informatie erover geeft en hoe te beveiligen.Als je laat zien hoe je een nep login op hun website zet komt het al heel anders over je als je het ze uitlegt en een onschuldig popup laat zien.Als je ze gewoon vertelt dat je denkt dat er misschien een fout op hun website zit en of je dat onder toezicht mag laten zien...dan doe je niks verkeerd en geven ze je waarschijnlijk toestemming om het te laten zien.


Je bent zo en zo fout als je dat aangeeft omdat de website/software gebruikt hebt op een andere manier waar het voor bedoelt is, dit is volgens wet in nederland strafbaar zou ver ik weer ...

als ze vragen je naam in te vullen in het venster dat daar voor bedoelt is en je stuur daar een string van 125 x A naar toe ben je inprincipe al fout bezig.

Stel dat je aangeeft waar de fout zit, dan is het makkelijk om die aangevraagde URL (in dit geval) die je gebruikt hebt, terug te zoeken in de weblogs en vervolgens te zien wat je nog uitgespookt hebt. Dat kan dan tevens als bewijs gebruikt worden tegen je. Ik zou daar dus ook erg mee oppassen....
29-09-2009, 15:39 door Anoniem
Iedereen bedankt voor de reacties, we zijn er nog steeds niet uit wat we nou gaan doen.
29-09-2009, 16:13 door Anoniem
Te bizar voor woorden dat men in 031 al zover is doorgeslagen dat zelfs een goed bedoelde waarschuwing je in de problemen kan brengen.

Helaas loop je door het te melden het risico in flinke problemen te komen terwel je slechts een beetje goodwill kan winnen.
Met flinke tegenzin is mijn advies om het te negeren
29-09-2009, 16:22 door Anoniem
Mijn mening is ook dat je het, eventueel anoniem, moet melden. Dus een briefje schrijven met je bevindingen etc. etc. wat hier al eerder genoemd is.

Ik ben zelf werkzaam als systeembeheerder op een school en bij ons is de regel dat dergelijke meldingen zeer zeker gewaardeerd worden en dus zeker per definitie niet beschouwd worden als een strafbaar feit.

Succes met het nemen van je beslissing!
29-09-2009, 19:37 door Thasaidon
Ach...
nog even en ze pakken je op wegens drugsbezit als je met een klasgenoot over PHP aan het discussiëren bent...
de gemiddelde leraar/decaan/rector zal niet weten wat PHP is en het verwarren met PCP of GHB :-)
07-10-2009, 08:58 door H.King
hahahaha !! top reactie

verder :
reacties hier zijn overdreven deze mensen weten niet eens wat XSS is laats staan dat ze weten dat het strafbaar is. En probeer het maar eens een rechter uit te leggen wat de persoon in kwestie verkeerd heeft gedaan....die vraagt of er ergens is ingebroken wat niet het geval is en zal het dan op vrij spraak gooien.Ik bedoel beetje nuchter blijven denken doet wonderen mensen.
07-10-2009, 10:36 door Anoniem
Door H.King: hahahaha !! top reactie

verder :
reacties hier zijn overdreven deze mensen weten niet eens wat XSS is laats staan dat ze weten dat het strafbaar is. En probeer het maar eens een rechter uit te leggen wat de persoon in kwestie verkeerd heeft gedaan....die vraagt of er ergens is ingebroken wat niet het geval is en zal het dan op vrij spraak gooien.Ik bedoel beetje nuchter blijven denken doet wonderen mensen.
Ik denk dat het eerder zal gaan om de vraag die ongetwijfeld gesteld zal gaan worden door de school...
"En wat waren jullie met XSS aan het doen toen jullie dit opmerkte?"
07-10-2009, 11:01 door Anoniem
Ik zou zeggen, het hangt een beetje van je/de school af, hoe die met vergelijkbare zaken omgaan.
Beginnen ze meteen te stijgeren, zonder te weten over het wat en hoe, dan zou ik zeggen meld het anoniem.
Zijn ze ontvankelijk voor dit soort op/aanmerkingen en/of heb je goed contact met 1 van de beheerders, dan zou ik het gewoon melden.

Ik werk zelf als beheerder op een mbo en heb dagelijks contact met studenten en bij ons is het "beleid" dat we dit soort dingen graag gemeld krijgen en er zal ook geen sanctie opstaan, zolang je niet willens en wetens de boel hebt zitten te slopen of gegevens bent gaan wijzigen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.