FAQ |
Kalender |
2010-09-25, 01:39 | #1 | ||
|
|||
Nykomling
|
Man blir nästan lite rädd när man ser sidor som har tiotusentals användare och har glömt på något sätt att escapa någon/några databasförfrågning vilket möjliggör att man kan i stort sätt plocka ur alla användare. Visst dom flesta sidorna använder någon form utav kryptering på lösenorden men ändå.
Hur kan man ens glömma att escapa databasfrågor ? Det är väll ganska givet att det bara är idiotiskt att inte göra det. Sedan så undrar jag hur mycket som bara tystas ner och ingen får veta något, personligen så tror jag att det är en hel del. För att tag sedan så tog jag mig in i en ISP;s databas genom några steg med SQL injektions. Väl där inne så fick jag tag på hela deras kundregister samt ip-numret/numren till samtliga kunder. Jag hade ingen nytta utav att komma åt alla deras kunder så jag skickade iväg ett mejl till ISP;en i frågan hur man skulle bära sig åt för att få ner en kopia utav deras kundregister, och fick som svar "Tack för att du uppmärksammade oss om säkerhetsbristen". Så nu satt jag där med en kopia på ett stort kundregister med ganska så känslig information och det enda som dom sa var ett tack. Två dagar gick och då ringde företagets VD och hotade minnas med att anmäla mig för dataintrång om jag skulle säga något om det här. Visst jag har inte sagt något om det jag hade inte häller gjort det även om han inte hade hotat med att anmäla mig. aja men hur svårt kan det vara att escapa samtliga databasfrågor samt skydda sig mot XSS båda utav dessa "säkerhetsproblem" som vissa kallar det tar inte många minuter att fixa. Sedan så gäller det bara att hålla server mjukvaran uppdaterad och när du har gjort det så ska det jävligt mkt till innan någon kommer åt din server/databas om du inte klantar runt med något lösenord. |
||
Svara med citat |
2010-09-25, 09:49 | #2 | ||
|
|||
Har WN som tidsfördriv
|
Har varit så i 10år och kommer vara så i 10år till....
Problemet kommer mycket från att det finns många nybörjare som utvecklar skarpt direkt utan någon utbildning eller tidigare tester. Visst, de lär sig snabbt och 10 projekt senare så förstår de riskerna, men väldigt få går tillbaks och fixar sina tidigare misstag. Och plötsligt så råkar ett av dessa hobbyprojekt ha blivit ganska stort och är fullt med hål. Frågan är dock, varför sitter du och testar sql-injections mot andra företag? Vill man lära sig finns det gott om demositer man kan ladda ner. |
||
Svara med citat |
2010-09-25, 11:22 | #3 | ||
|
|||
Flitig postare
|
När jag pluggade i Lund så hade datordriften på efd på LTH en mycket bra inställning till datorsäkerheten. Den gick i kort ut på att man fick göra i princip vad som helst för att försöka hacka deras system, men om man lyckades var man tvungen att berätta om problemet för dem och naturligtvis inte utnyttja informationen.
Detta leder ju till ett mycket säkert system. |
||
Svara med citat |
2010-09-25, 23:20 | #4 | ||
|
|||
Klarade millennium-buggen
|
Du har gjort dataintrång, det är inte mer rätt än att du blir anmäld. Tyvärr kommer inte polisen att jaga dig för de har inte resurser. Och VDn är en mes som inte anmäler dig för att han är rädd att det ska komma ut att han har dålig säkerhet.
|
||
Svara med citat |
2010-09-25, 23:51 | #5 | ||
|
|||
Administratör
|
Kan inte annat än att hålla med. Laddar du ner en kopia av deras kundregister borde du anmälas.
Förvisso finns det mycket korkade nybörjare som inte vet bättre. Men sen finns det mänskliga misstag också. T o m Google har haft XSS-sårbarheter t ex pga en miss i dess rensning i UTF-7-strängar.
__________________
eldefors.com - Personlig (teknik)-blogg |
||
Svara med citat |
2010-09-26, 00:32 | #6 | ||
|
|||
Klarade millennium-buggen
|
Finns mycket mer system som är osäkra, banksystem, elsystem, kärnkraftverk etc och massa saker. Sedan skiljer det ju även mycket mellan olika länder med.
Dock är många av systemet slutna och inte finns på "internet" men finns ju ändå många olika vägar in. Komma åt en ISP kundregister det är rena solen, finns mycket värre saker vara mörkrädd över. Tillgång till förbindelser och alla krypteringsnycklar som används för kommunikation mellan banker och bankomaterna är värre att inte kunna skydda. Tänker inte nämna vilka banker det gäller eller i vilka länder dock. Eller kanske även kan råka säga att Plusgirot i vissa delar av deras system kör alla frågor före och hämtar ut data sedan kontrollerar om det är inloggad eller auth. Det finns så mycket kritiska system som är extremt osäkra. |
||
Svara med citat |
2010-09-26, 00:57 | #7 | ||
|
|||
Klarade millennium-buggen
|
Sedan kan jag väl ge säga man tjänar aldrig på vara snäll och informera om säkerhetshål, till över 90% blir du anmäld.
Bättre låta det vara och så får dom skylla sig själv om någon annan hittar hålet och missbrukar det. Enda som händer när dom anmäler är att det blir offentlig handling och all data brukar "råka" spridas på nätet. Även i många fall just för att det inte blir något åtal eller polis och åklagare är så inkompetenta i deras hantering. I värsta fall kanske man lyckas få lite böter och företaget kanske förlorar miljoner efteråt, fast är rätt åt dom när dom hanterar saker dåligt. Så tipset är låt saker vara bara, sedan kan du skratta åt dom bara när väl någon annan hittar det och ställer till skada. |
||
Svara med citat |
2010-09-26, 11:05 | #8 | ||
|
|||
Klarade millennium-buggen
|
Ganska nyligen så upptäckte jag ett hål för SQL-injection hos ett företag som genomför undersökningar.
Fick prata med en av cheferna och blev direkt anklagad för dataintrång när jag talade om för honom riskerna med detta hålet. Blev efter många om o men kopplad till en utvecklare och han skulle se över det omedelbart. Det roliga i det hela är mer eller mindre att dom skickat ut ett mail och när man klickar på länken i mailet så kommer det upp en .NET-felsida som säger att ena argumentet inte är escapat tillräckligt. Nu 2v senare så är felet inte åtgärdat. |
||
Svara med citat |
Svara |
|
|