Security Professionals - ipfw add deny all from eindgebruikers to any

ziggo,telfort,t-mobile,hi en veel meer kwetsbaar voor XSS,SQL,LFI

18-09-2013, 18:29 door 123456qwerty, 14 reacties
Goede avond

Wij zijn xlimbolandx research team .

De laatste tijd hebben wij websites onderzocht(doorzocht) naar fouten ,tot ons verbazing kwamen we achter dat nog steeds
grote websites kwetsbaar zijn voor SQL,LFI,XSS .

We hebben over ziggo,telfort,t-mobile,hi,mtv, en veel meer ,we hebben de grote boeven aangeschreven over hun fouten maar die doen er niks mee .

Ons team is aan denken of we toch in de toekomst alle fouten gewoon op internet gooien zonder te melden ? maar zullen we dat doen of moeten we de boeven de kans geven om de fouten zelf te vinden.


Willen de nederlandse website admin's hun websites veiliger maken of toch niet .

xlimbolandx
Reacties (14)
18-09-2013, 19:11 door Spiff has left the building
@ 123456qwerty / xlimbolandx,

Net nieuw wellicht, dat xlimbolandx research team?
Ik vind althans slechts enkele hits die verwijzen naar een xlimbolandx blogpost site, en verder geen hits.
Prima, maar je of jullie zullen volgens mij wat aan de beheersing van de Nederlandse taal moeten gaan doen om serieus genomen te kunnen worden. Alleen al alle fouten in de post hierboven, dat doet geen goed aan de uitstraling van je research team.
Enkele hints voor hoe het beter kan:
- Goedenavond;
- geen spatie gebruiken tussen het laatste woord van de zin en de punt, of het vraagteken, of ander leesteken;
- spatie gebruiken tussen onderzocht(doorzocht)
- geen spatie gebruiken tussen een woord en de daarop volgende komma, en juist wél een spatie gebruiken tussen die komma en het volgende woord;
- tot onze verbazing;
- kwamen we er achter;
- We hebben het over;
- hoofdletters gebruiken voor de woorden die met hoofdletters geschreven horen te worden;
- Ons team is aan het denken;
- op internet moeten[?] gooien;
- een vraagteken gebruiken waar dat volgt uit de zinsbouw (wanneer het een vraag betreft, dus)

Zou je reacties zoals de mijne maar onzin vinden, verbaas je er dan niet over dat de inhoud van je boodschap niet serieus genomen wordt. De vorm waarin je je boodschap presenteert is van belang.

Succes verder.
18-09-2013, 19:42 door 123456qwerty - Bijgewerkt: 18-09-2013, 19:43
Goede avond Spiff Piff Paff

Wat maakt dat uit hoe je iets schrijft, de beste hackers kunnen nog niet eens lopen ,wil je zeggen dat mensen die niet goed engels spreken of schrijven niet goed genoeg zijn om een goed beveiligd website te kunnen hacken ????

We hebben over research en niet over hoe je iets schrijft ,zou jij mij geloven als ik een vertaal programma gebruik?

En Piff Paff we komen uit buitenland ja .

Als jij meer zou lezen op internet dan zou je wel weten dat de beste research teams niet goed engels kunnen praten of zelfs schrijven maar zijn zo goed in zoeken naar fouten !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


Ik kan je veel voorbeelden geven .


Regards
xlimbolandx
18-09-2013, 20:44 door Anoniem
Beste xlimbolandx,

Toen ik nog bij Ziggo werkte hadden ze capabele webdevelopers en security teams.

Als je een anoniem e-mailadres (simpel hotmail/live adres ofzo) achterlaat dan laat ik mijn oud-collega's van Ziggo wel even contact opnemen.

J
18-09-2013, 20:47 door Anoniem
Behoudens de taalfouten, waardoor je misschien ook geen reactie krijgt, zou ik zeggen dat je de "grote boeven" eerst een ultimatum kunt stellen alvorens je de gevonden kwetsbaarheden op het internet zet.
18-09-2013, 21:06 door Spiff has left the building
Door 123456qwerty:
Wat maakt dat uit hoe je iets schrijft
Dat was een te verwachten reactie.
Maakt het uit hoe je schrijft? Ja, dat maakt beslist uit.
Velen vinden het moeilijker een stuk serieus te nemen wanneer het slordig geschreven is. Met een minder goed geschreven stuk bereik je daardoor potentieel minder dan met een met enige aandacht beter geschreven stuk.
Ikzelf vind het moeilijk om vertrouwen te hebben dat iemand informatietechnologie en code nauwkeurig beheerst als die laat zien weinig moeite te doen een redelijk geschreven stuk af te leveren.

Ik gaf mijn eerdere en ook deze reactie niet om je te plagen, maar om je te wijzen op het feit dat je met een goed geschreven stuk meer bereikt dan met een slordig geschreven stuk.
Je moet zelf maar bepalen of je je hiertegen wilt afzetten, of het serieus wilt nemen.

Door 123456qwerty:
we komen uit buitenland ja
Beheers je het Engels beter, dan zou je voor relevante bijdragen wellicht in het Engels kunnen schrijven.
Maar dat wat ik aangaf betreffend gebruik van leestekens en spaties, dat geldt niet alleen voor het Nederlands, maar evengoed voor Engels en andere talen. En ook in die andere talen zal slordig schrijven de waarde van je tekst negatief beïnvloeden.
Nogmaals, oprecht succes toegewenst.

P.S.
Iemands nickname verbasteren (Spiff Piff Paff) dat helpt uiteraard evenmin wanneer je de intentie hebt serieus genomen te willen worden.
18-09-2013, 21:41 door 123456qwerty
Ik waardeer dat je zo goed oplet hoe iemand iets schrijft ,maar wat kun je hier mee winnen?

Een tijd geleden was iemand die heel slecht engels schreef maar een mooi exploit had gevonden op facebook .
Iemand van facebook security team was zo dom om die jongen zo aftezeiken omdat die jongen zo slecht engels schreef dat ze vergeten waren dat die jongen een heel gevarlijke exploit had gevonden .

Ik weet niet of je bekent bent met dat verhaal maar achter af hebben mensen gezegd we moeten goed lezen en goed mensen begrijpen en niet afzeiken ,als die jongen had gewild danwas facebook leeg (geen accounts meer )


Dus ja je hebt gelijk (maar) als ik een mail krijg van een palestijn die niet kanschriven dan ga ik toch effe alles na voor dat ik de jongen afzeik .

Het gaat nog steeds om fouten in websites die gevarlijk kunnen zijn en niet hoe je iets uitlegt.


Maar ik begrijp je wel ,ik hoop dat jij mij ook begrijpt


Regards
xLimbolandx
18-09-2013, 22:37 door Anoniem
@123456quewerty: Jullie en Spiff hebben beide een punt . Spiff heeft gelijk dat je, wanneer je betere spelling hebt in het Nederlands, Engels of welke taal dan ook, je serieuzer zal worden genomen. En jij/jullie hebben gelijk dat het op websites als Security.nl vooral gaat om technische issues t.a.v.( systeem)veiligheid. Welkom op deze website www.security.nl forum. Mogen we weten uit welk(e) land(en) jullie komen? Wat de opmerkingen van Spiff betreft, hij meent het echt goed met jullie, hij wil jullie alleen goede raad geven, meer niet. En alle tips, hulp op dit forum en website om tot een veiliger internet en veiligere pc's, servers ,hardware en software te komen zijn natuurlijk altijd van harte welkom.
18-09-2013, 22:53 door Supreme
Ik ben wel benieuwd wat voor reacties je dan hebt ontvangen.

Ook begrijp ik deze tekst niet helemaal:
of moeten we de boeven de kans geven om de fouten zelf te vinden
Begrijp ik hieruit dat je in de mail aangeeft dat er een probleem is maar geef je geen verdere details over wat je dan precies gevonden hebt?
18-09-2013, 23:00 door Spiff has left the building
Door 123456qwerty:
ik hoop dat jij mij ook begrijpt
Ik begrijp je uitstekend, dank je.
Maar ik hoop dat jij begrijpt dat ik jou niet afzeik, zoals je dat schrijft betreffende die andere gevallen, maar dat ik werkelijk denk dat je jezelf en je research team potentieel benadeelt met slordig taalgebruik. Jij ziet dat anders, begrijp ik.
Het lijkt me, nadat we allebei hebben aangegeven wat onze mening daarover is, niet nuttig om dit off-topic betreffend taalgebruik voort te zetten.
Ik hoop voor je dat anderen zich richten op het inhoudelijke aspect van je boodschap.
Nogmaals het beste toegewenst met het research team.
18-09-2013, 23:03 door 123456qwerty
De meeste reacties zijn

Bedankt voor je email ,zou je meer over de fout kunnen vertellen .

Na meerder info over de fouten horen we niks meer maar er word ook niks mee gedaan .
Tot op heden hebben we een email gekregen van Tros.nl met een bedankje .

We geven mensen ook de kans om zelf de fout te zoeken ,we merken dat admins geen moeite doen om de fouten op te lossen .

Deze week hebben we ook SQL gevonden op KPN website die werd snel gepatch zonder berichten naar ons toe .

Daarom vragen wij ons af heeft nog zin om fouten door te geven aan admins ???
18-09-2013, 23:12 door NetGuardian
Zeg "XlegolandX",

Ten 1e: je hebt de 'zogenaamde' beveiligings problemen al bekend gemaakt. Ze staan hier boven in je 1e post.

Ten 2e: Hoor eens, script kiddies, zomaar de beveiliging 'testen' van websites die niet van jou zijn met gedownloade speeltjes is in Nederland naar mijn weten ook niet echt toegestaan. Pas maar op dat de grote boze wolf je niet van je bedje bij mama thuis komt lichten.

Ten 3e: Mocht je onverhoopt echt wat gevonden hebben. Gewoon melden en het daarbij laten. Sommige mailen "dank je" en fixen het. Sommige mailen niks en fixen het. Sommige zijn inderdaad te lui om er wat mee te doen, die merken het vroeg of laat vanzelf wel :-)
19-09-2013, 11:21 door 123456qwerty - Bijgewerkt: 19-09-2013, 11:28
Beste NetGuardian

Bedankt voor je reactie ,hier zitten we op te wachten.
Mensen zo als U zijn heel erg gewild in security wereld .

Ik merk dat U beetje jaloers bent of zelfs geiriteerd,vind U zelf vervelend dat mensen van 11 jaar oud beter een lek kunnen achterhalen dan iemand zo als U.

We hebben idd geen Iomega 6GB NAS maar wat we wel hebben is kennis over zoeken naar fouten in systemen,en
het maak niet uit hoe .

HDMore gebruikt ook Metasploit ,wilt U nu zeggen dat hij script kiddies is ?
Kevin Mitnick gebruikt ook tools om fouten te zoeken ,wilt U zeggen dat hij niks kan .

Ik weet wel dat wij aan U nooit een lek door zouden geven ,ik zou hem heel graag willen misbruiken om U te laten zien dat het niks uit maakt wie je bent of hoe je bent om een belangrijk fout in een systeem te vinden.

Succes met Iomega 6GB NAS
19-09-2013, 11:35 door fvandillen
Dit ruikt naar een heel hoog script-kiddie gehalte. Ik betwijfel ten zeerste of er ook maar echte kwetsbaarheden zijn gevonden. Neem trouwens gewoon de moeite om dit middels responsible disclosure te melden, al is het maar anoniem.
19-09-2013, 12:27 door 123456qwerty - Bijgewerkt: 19-09-2013, 12:29
Bes
Door fvandillen: Dit ruikt naar een heel hoog script-kiddie gehalte. Ik betwijfel ten zeerste of er ook maar echte kwetsbaarheden zijn gevonden. Neem trouwens gewoon de moeite om dit middels responsible disclosure te melden, al is het maar anoniem.

Beste Florian van Dillen

We hoeven niks te bewijzen maar als ik U een bewijs geef dat we best goed zijn in research doen bent U bereid om sorry tegen ons te zeggen ?

Ik wil U graag een bewijs geven om U alleen U te laten zien dat we meer kunnen dan alleen slecht typen.

Bent U bekent met Twtrland.com

Als wij U kunnen bewijzen dat wij in 10 min tijd een Persistent XSS kunnen vinden op die website bent U bereid om alles terug te trekken wat U gezegd heeft ?


Beste
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.