Forum » De lounge » Beveiligingslekken
Superior
Berichten: 2103
avatar
Offline Stuur privebericht
Goedemiddag allemaal,

Ik ben de laatste tijd erg bezig met onderzoek naar verschillende beveiliging fouten.

Enkele voorbeelden:

- SQL Injections
- RFI
- LFI
- XSS
- Bruteforce

en nog veel meer om op te noemen, helaas geen zin om ze allemaal te typen

Nu ben ik benieuwt of iedereen tegen dat soort beveiligings fouten wel beveiligd is.
Omdat ik bezig ben met een onderzoek hierna vraag ik enkel vragen.
Probeer deze eerlijk te beantwoorden, liegen is slecht voor je imago

Wat wil ik weten

- Met welke beveiligings fouten was jij bekend?
- Wat gebruik jij?
- Hoe voorkom jij dit?
- Wat is je ondernomen actie?
- Heb jij je coding aangepast na dit bericht?

Graag gewoon eerlijk en normaal beantwoorden.
Je hoeft geen link te plaatsen aangezien je dan misbruik gaat krijgen.
Kijk ook niet naar andere mensen, deze zijn misschien iets verder hierin dan jij zelf.
Lees wel reacties, hier kan je misschien nog wel wat van leren rondom beveiliging


Nogmaals GEEN link plaatsen, hier krijg je misbruik van.


Topic niet sluiten, ben bezig met een onderzoek hiernaar.
Laatst gewijzigd door Superior op 2009-11-05 15:09:04
2009-11-05 14:48:42
Dit topic is 887 keer bekeken door 25 verschillende leden
Reacties op: "Beveiligingslekken"
1 | 2 | 3 | 4 | 5 | 6 Volgende pagina
MrMees
De causeur!
Berichten: 503
avatar
Online Stuur privébericht
Ik weet wel mysql injection. Ik beveilig dit via mysql_real_escape_string();

En dat mensen HMTL kunnen misbruiken(weet de naam niet), hiervoor gebruik ik htmlspecialchars().

Edit by Pim: Dat laatste noemt XSS
2009-11-05 15:02:46
Pim
Love Me Two Times
Berichten: 2343
avatar
Offline Stuur privébericht
Haha dat zijn net de 4 grootste bugs die iedereen over het hoofd ziet.

Dit is de beste guide hierover: http://www.criminalspoint.com/db/artikel/298.html (heb nog nooit een guide gezien die in de buurt kwam van deze)

Bijna alle bugs die in dat eBook staan zijn van toepassing op CP, zo heb ik ook eens een php-afbeelding gehad ipv jpg (RFI of LFI). Ook met XSS heb ik hier ooit een 100en accounts gehackt op CP (zelfs die van Koen).

Nouja lees allemaal eens door, is zeer interessant wil je je website beveiligen!
2009-11-05 15:04:07
Superior
Berichten: 2103
avatar
Offline Stuur privébericht
@TerrorSheep
Inderdaad, die hack heb ik pas sinds kort geleerd van Darsstar.

Je kan dan doormiddel van een link die NIET gecontroleerd word gewoon dingen verwijderen met een afbeelding of andere manieren.
En ja zelfs dit kan je op afstand uitvoeren zodat jij er nooit achter zal komen.
Meeste lullige hack die ik tot nu toe heb geleerd.
Waarom vraag jij je af, nou als hij die hack op afstand uitvoert kan jij hier nooit achter komen.
Hij kan zoveel doen als hij wil en jij kan je rotzoeken naar iets wat je niet snapt.
2009-11-05 15:06:54
Pim
Love Me Two Times
Berichten: 2343
avatar
Offline Stuur privébericht
D.m.v. zo'n RFI of LFI kan je een gehele website hacken! Door zo'n lek kan je een shell uploaden naar een website waardoor jij de gehele source kan stelen, aanpassen, verwijderen, .. Bij verschillende van die criminalsuploadwebsites kan je dat lekker doen (heb ik me ooit hard mee geamuseerd).
2009-11-05 15:09:16
Superior
Berichten: 2103
avatar
Offline Stuur privébericht
Als jullie ook de vragen kunnen beantwoorden

Dat is me onderzoek namelijk, vroeg niet naar wat voor hack jij kan uitvoeren

Edit by TerrorSheep: Lees even dat eBook
2009-11-05 15:12:22
Pim
Love Me Two Times
Berichten: 2343
avatar
Offline Stuur privébericht
Dat is XSS, je kan daar vanalles mee doen.. Zal zometeen een voorbeeld geven.

Bijna elke website's zijn vatbaar voor beveilingslekken, zelfs bankwebsite's, dat heeft Unu bewezen.
2009-11-05 15:14:37
Dein
Devantasy
Berichten: 2559
avatar
Online Stuur privébericht
Dat moet je nog wel een shell bestand kunnen schrijven, ik heb hier ooit een boek over gelezen en dat was alles behalve simpel .

Beveiliging begint ook met een goede opzet van de scripts, ga je heel slordig scripten zul ja altijd wel iets missen, maar ga je ordelijk scripten zie je al snel dat je variabele niet beveiligd hebt e.d

Maar 1 punt moet ik je wel vertellen, laat beveiliging nooit boven het gebruikersgemak komen, want dan ben je iets teveel bezig met beveiliging (wat meestal wel goed is, maar een gebruiksvriendelijke site gaat ook voor op sommige dingen )

Deze site: http://net.tutsplus.com/category/tutorials/
Staan ook ongelofelijk veel handige tutorials op om je site veilig te maken, deze staat ook hoog in me bladwijzers .
2009-11-05 15:16:18
Pim
Love Me Two Times
Berichten: 2343
avatar
Offline Stuur privébericht
Dat heb je fout Dein, beveiliging mag juist nooit onderdoen aan beveiliging! Kijk nou naar een captcha, die ik ook niet gebruiksvriendelijk maar als je die niet zet heb je direct hopen bots op je website!

Shells vind je gewoon op het net
2009-11-05 15:21:44
Dein
Devantasy
Berichten: 2559
avatar
Online Stuur privébericht
De captcha van Niels is toch veel gebruiksvriendelijker dan zo een die bijna onleesbaar is en die je 10x moet overtypen voor je het juiste hebt .. om maar een voorbeeld te geven.

Shells vind je uiteraard op het internet, ik weet ook genoeg van de underground van het internet (kan zo wel een paar forums opnoemen waar ik research in gedaan heb) maar als je iets gebruikt zonder te weten hoe het in elkaar steekt ben je gewoon een script kiddie en die mensen worden niet echt netjes bekeken tegenover een white hat hacker(die hun eigen shells schrijven).

Om nog maar iets te noemen: buffer overflow heel bekend in de computertalen, maar ik durf te wedden dat de 2/3 niet eens weet wat het is .
2009-11-05 15:27:29
MrMees
De causeur!
Berichten: 503
avatar
Online Stuur privébericht
Dat pdf-bestand heb ik ook op men pc en is inderdaad erg handig!

Ik snap alleen dat met die image niet, kan iemand dat hier ook uitleggen?
2009-11-05 15:30:51
Reageer op: "Beveiligingslekken"
1 | 2 | 3 | 4 | 5 | 6 Volgende pagina
Je kan niet reageren omdat je niet bent ingelogd. Inloggen of Aanmelden