Kom ihåg mig?
Home Menu

Menu


Säkerhet på sidor

Ämnesverktyg Visningsalternativ
Oläst 2010-09-25, 01:39 #1
FlipDesign FlipDesign är inte uppkopplad
Nykomling
 
Reg.datum: Apr 2010
Inlägg: 37
FlipDesign FlipDesign är inte uppkopplad
Nykomling
 
Reg.datum: Apr 2010
Inlägg: 37
Standard Säkerhet på sidor

Man blir nästan lite rädd när man ser sidor som har tiotusentals användare och har glömt på något sätt att escapa någon/några databasförfrågning vilket möjliggör att man kan i stort sätt plocka ur alla användare. Visst dom flesta sidorna använder någon form utav kryptering på lösenorden men ändå.

Hur kan man ens glömma att escapa databasfrågor ? Det är väll ganska givet att det bara är idiotiskt att inte göra det.

Sedan så undrar jag hur mycket som bara tystas ner och ingen får veta något, personligen så tror jag att det är en hel del.

För att tag sedan så tog jag mig in i en ISP;s databas genom några steg med SQL injektions. Väl där inne så fick jag tag på hela deras kundregister samt ip-numret/numren till samtliga kunder. Jag hade ingen nytta utav att komma åt alla deras kunder så jag skickade iväg ett mejl till ISP;en i frågan hur man skulle bära sig åt för att få ner en kopia utav deras kundregister, och fick som svar "Tack för att du uppmärksammade oss om säkerhetsbristen".
Så nu satt jag där med en kopia på ett stort kundregister med ganska så känslig information och det enda som dom sa var ett tack. Två dagar gick och då ringde företagets VD och hotade minnas med att anmäla mig för dataintrång om jag skulle säga något om det här. Visst jag har inte sagt något om det jag hade inte häller gjort det även om han inte hade hotat med att anmäla mig.


aja men hur svårt kan det vara att escapa samtliga databasfrågor samt skydda sig mot XSS båda utav dessa "säkerhetsproblem" som vissa kallar det tar inte många minuter att fixa. Sedan så gäller det bara att hålla server mjukvaran uppdaterad och när du har gjort det så ska det jävligt mkt till innan någon kommer åt din server/databas om du inte klantar runt med något lösenord.
FlipDesign är inte uppkopplad   Svara med citatSvara med citat
Oläst 2010-09-25, 09:49 #2
Danski Danski är inte uppkopplad
Har WN som tidsfördriv
 
Reg.datum: Jul 2005
Inlägg: 1 208
Danski Danski är inte uppkopplad
Har WN som tidsfördriv
 
Reg.datum: Jul 2005
Inlägg: 1 208
Har varit så i 10år och kommer vara så i 10år till....

Problemet kommer mycket från att det finns många nybörjare som utvecklar skarpt direkt utan någon utbildning eller tidigare tester. Visst, de lär sig snabbt och 10 projekt senare så förstår de riskerna, men väldigt få går tillbaks och fixar sina tidigare misstag. Och plötsligt så råkar ett av dessa hobbyprojekt ha blivit ganska stort och är fullt med hål.

Frågan är dock, varför sitter du och testar sql-injections mot andra företag? Vill man lära sig finns det gott om demositer man kan ladda ner.
Danski är inte uppkopplad   Svara med citatSvara med citat
Oläst 2010-09-25, 11:22 #3
Anders Karlsson Anders Karlsson är inte uppkopplad
Flitig postare
 
Reg.datum: Dec 2003
Inlägg: 422
Anders Karlsson Anders Karlsson är inte uppkopplad
Flitig postare
 
Reg.datum: Dec 2003
Inlägg: 422
När jag pluggade i Lund så hade datordriften på efd på LTH en mycket bra inställning till datorsäkerheten. Den gick i kort ut på att man fick göra i princip vad som helst för att försöka hacka deras system, men om man lyckades var man tvungen att berätta om problemet för dem och naturligtvis inte utnyttja informationen.

Detta leder ju till ett mycket säkert system.
Anders Karlsson är inte uppkopplad   Svara med citatSvara med citat
Oläst 2010-09-25, 23:20 #4
Magnus_A Magnus_A är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: May 2006
Inlägg: 2 604
Magnus_A Magnus_A är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: May 2006
Inlägg: 2 604
Du har gjort dataintrång, det är inte mer rätt än att du blir anmäld. Tyvärr kommer inte polisen att jaga dig för de har inte resurser. Och VDn är en mes som inte anmäler dig för att han är rädd att det ska komma ut att han har dålig säkerhet.
Magnus_A är inte uppkopplad   Svara med citatSvara med citat
Oläst 2010-09-25, 23:51 #5
Clarence Clarence är inte uppkopplad
Administratör
 
Reg.datum: Jan 2003
Inlägg: 1 974
Clarence Clarence är inte uppkopplad
Administratör
 
Reg.datum: Jan 2003
Inlägg: 1 974
Kan inte annat än att hålla med. Laddar du ner en kopia av deras kundregister borde du anmälas.

Förvisso finns det mycket korkade nybörjare som inte vet bättre. Men sen finns det mänskliga misstag också. T o m Google har haft XSS-sårbarheter t ex pga en miss i dess rensning i UTF-7-strängar.
Clarence är inte uppkopplad   Svara med citatSvara med citat
Oläst 2010-09-26, 00:32 #6
patrikweb patrikweb är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2004
Inlägg: 6 096
patrikweb patrikweb är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2004
Inlägg: 6 096
Finns mycket mer system som är osäkra, banksystem, elsystem, kärnkraftverk etc och massa saker. Sedan skiljer det ju även mycket mellan olika länder med.

Dock är många av systemet slutna och inte finns på "internet" men finns ju ändå många olika vägar in.

Komma åt en ISP kundregister det är rena solen, finns mycket värre saker vara mörkrädd över.

Tillgång till förbindelser och alla krypteringsnycklar som används för kommunikation mellan banker och bankomaterna är värre att inte kunna skydda. Tänker inte nämna vilka banker det gäller eller i vilka länder dock.

Eller kanske även kan råka säga att Plusgirot i vissa delar av deras system kör alla frågor före och hämtar ut data sedan kontrollerar om det är inloggad eller auth.

Det finns så mycket kritiska system som är extremt osäkra.
patrikweb är inte uppkopplad   Svara med citatSvara med citat
Oläst 2010-09-26, 00:57 #7
patrikweb patrikweb är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2004
Inlägg: 6 096
patrikweb patrikweb är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Nov 2004
Inlägg: 6 096
Sedan kan jag väl ge säga man tjänar aldrig på vara snäll och informera om säkerhetshål, till över 90% blir du anmäld.

Bättre låta det vara och så får dom skylla sig själv om någon annan hittar hålet och missbrukar det.

Enda som händer när dom anmäler är att det blir offentlig handling och all data brukar "råka" spridas på nätet.

Även i många fall just för att det inte blir något åtal eller polis och åklagare är så inkompetenta i deras hantering.

I värsta fall kanske man lyckas få lite böter och företaget kanske förlorar miljoner efteråt, fast är rätt åt dom när dom hanterar saker dåligt.

Så tipset är låt saker vara bara, sedan kan du skratta åt dom bara när väl någon annan hittar det och ställer till skada.
patrikweb är inte uppkopplad   Svara med citatSvara med citat
Oläst 2010-09-26, 11:05 #8
Jonas Jonas är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Feb 2004
Inlägg: 3 364
Jonas Jonas är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Feb 2004
Inlägg: 3 364
Ganska nyligen så upptäckte jag ett hål för SQL-injection hos ett företag som genomför undersökningar.

Fick prata med en av cheferna och blev direkt anklagad för dataintrång när jag talade om för honom riskerna med detta hålet. Blev efter många om o men kopplad till en utvecklare och han skulle se över det omedelbart.

Det roliga i det hela är mer eller mindre att dom skickat ut ett mail och när man klickar på länken i mailet så kommer det upp en .NET-felsida som säger att ena argumentet inte är escapat tillräckligt.

Nu 2v senare så är felet inte åtgärdat.
Jonas är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)
 

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 06:11.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017