Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Beveiligingslekken gevonden , wat te doen?

10-12-2012, 12:34 door Anoniem, 9 reacties
Goedemiddag Security leden,


Ik heb een aantal XSS en SQLI lekken gevonden (9 tot nu toe) bij populaire websites van Nederlandse webwinkels en zelfs 3 websites van popsterren, mijn vraag is nu (aangezien ik nog maar 17 jaar ben) hoe dit te melden?
Ik heb al een aantal keren gemaild naar het hoofdmailaccount van de websites, alleen ik krijg NOOIT reacties terug.

Ik ben geen Scriptkiddie, ik weet wat ik doe, ik vraag alleen maar om raad.

Ik heb alleen maar een alert getriggert met een javascript iframe , Dus geen kwaadaardige aanvallen , en met SQLI alleen maar een error uitgelokt en wat geprobeert.

Voor de rest helemaal niets.

Met vriendelijke groet,

Anoniem
Reacties (9)
11-12-2012, 12:57 door Anoniem
Brenno bellen.
11-12-2012, 13:36 door SirDice
Door Anoniem: Brenno bellen.
Gezien de houding van NCSC lijkt me dat inderdaad de beste oplossing.
11-12-2012, 13:50 door Anoniem
Informatie openbaar maken aan blackhats. Dan zullen ze de volgende keer wel luisteren als er lekken zijn gevonden.
In dit geval kun je dan niet zo veel doen aangezien je al gemailt hebt en je waarschijnlijk je prive-email account gebruikt hebt.
11-12-2012, 13:56 door AdVratPatat
Door Anoniem: ...
Ik ben geen Scriptkiddie, ik weet wat ik doe, ik vraag alleen maar om raad.

Ik heb alleen maar een alert getriggert met een javascript iframe , Dus geen kwaadaardige aanvallen , en met SQLI alleen maar een error uitgelokt en wat geprobeert.

Voor de rest helemaal niets.
Scriptkiddie zegt meer over gedrag dan effectiviteit, helaas ben ik het daar dus niet met je eens. In ieder geval zou ik strafrechtelijke vervolging proberen te ontlopen, aangezien je niet alleen toegang hebt verschaft, MAAR OOK CODE HEBT UITGEVOERD en DATA HEBT GEWIJZIGD. (Niet meer doen dus in de toekomst...)

Meest effectieve oplossing zou een full-disclosure bij de betreffende webhosts zijn, de kans op aangifte -> opsporing -> vervolging is hierbij wel aanwezig.

Succes.
11-12-2012, 15:00 door Anoniem
Laat Brenno hun contacteren, hij heeft rechten van een journalist :) dus weinig kans op vervolging.
11-12-2012, 15:24 door Anoniem
Bellen? , bedoelen jullie niet mailen? ik heb zijn mailadres wel (brenno@bigwobber.nl) , ga hem vanavond gelijk mailen.

Enige ideeën wat er allemaal in het mailtje moet staan en hoe ik het beste overkom? , ik wil het liefst anoniem blijven
11-12-2012, 15:55 door Flexxy
Melden, week of 2 de tijd geven.. niets aan gedaan? Go public.. Anoniem natuurlijk.. Hun probleem.. Veel hebben hun head up their ass en denken te 1337 te zijn.. Als jij het niet vind doet een ander het wel..
12-12-2012, 12:27 door SirDice
Door Anoniem: Enige ideeën wat er allemaal in het mailtje moet staan en hoe ik het beste overkom? , ik wil het liefst anoniem blijven
Geef gewoon even kort aan wat je gevonden hebt en dat je er geen vertrouwen in hebt 'normaal' behandeld te worden door die partijen en/of het NCSC. Als Brenno het interessant vind zal'ie vast verder vragen.

En inderdaad, Brenno heeft verschoningsrecht en kan jou dus buiten schot houden.

Edit: Ok, dat heeft'ie dus niet. Maar hij hoeft echter niet zijn bron prijs te geven.

http://nl.wikipedia.org/wiki/Verschoningsrecht#Nederland
14-12-2012, 12:05 door smiegles
bel alsjeblieft niet brenno.
heb ik ook gedaan is het volgende uitgekomen :

http://www.nu.nl/internet/2880357/dertien-universiteiten-getroffen-beveiligingslek.html

en artikel vol fouten en slecht informatie.


groet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.