Vergeet niet dat jullie allemaal zelf webmasters en it'achtige substanties zijn net als ik.
Wij reageren tegen privacy, maar 80% van de mensen geeft geen f*ck om dit soort topics...

In hun kleine lettertjes staat dat ze dit mogen doen, dus ga je akkoord met hun regels. Je kan er niets aan doen, buiten hun diensten niet gebruiken...
En op wettelijk vlak zijn hier nog bijna nergens regels over.

Verder mogen websites bv niet linken naar mp3's, maar doet google niets anders dan linken naar illegale content.
Maar bij hen klaagt niemand...

Microsoft moet verplicht een browser keuze scherm zetten op alle Windows versies, maar zie jij Google al een keuzepagina opzetten zodat je Bing kan kiezen - ik denk het niet.
Men moet eens stoppen met Microsoft te discrimineren op dit vlak ook.
Google mag alles en Microsoft niet.

Ok, Microsoft is te groot, maar dat is juist omdat ze in verhouding een goed product hebben.

Ik test als hacker nu grote banken en ik kan je verzekeren dat er nog niet veel banken zijn waar wij met ons team nog niet zijn kunnen binnendringen. Bugs en exploits zijn overal, deze uitbannen kost veel geld en is praktisch soms zelfs niet eens mogelijk.
Even iets vergeten en lap, weeral zoveel duizenden euro's mogelijke schade...

Maar het feit dat Google gehackt werd, klaagt geen kat over.
Dagelijks worden Google accounts gehackt, maar daar rept niemand iets over.
Door de Aurora bug werd Google gehackt en is hun sourcecode gelekt. Maar wie zegt dat jullie privé gegevens ook niet gelekt zijn? Mogelijk weet China nu alles over jullie...

Grote kans dat Google ontdekt heeft dat ze gehackt zijn, juist omdat ze opeens veel meer gegevens verstuurden (meer traffiek, meer kosten) naar de hackers... Juist, onze gegevens...

Ik heb een zeer interessant filmpje ontdekt, gehost door Google (YouTube), over wat ze nu eigenlijk willen bereiken.

Dit is iets dat je zeker eens moet bekijken:
http://www.youtube.com/v/R7yfV6RzE30

Ongelofelijk hoe ze echt al onze basisbehoeften vervullen...

Denk er maar eens over na,
Koen

Vreemd dat men je zo hard en zo lang scant...
En dat voor een gewone bezoeker van een site.

Mogelijk gebruikt deze webmaster zijn bezoekers als target automatisch voor het vergroten van zijn botnet.
9 op 10 zat er op zijn website een exploit zoals de aurora bug en probeert hij nu uit te vissen op welke poort je pc hackbaar is.

Verder is portscanning niet strafbaar, tenzij ze je internet te zwaar vertragen.
Sowieso hier inderdaad melding van maken bij zijn provider EN de webhosting partij welke wordt gebruikt.
Verder dien je ook te kijken of op zijn ip een server draait, want dan is er veel kans dat hij alles zelf doet.
Dan heb je nog meer bewijsmateriaal tegen zijn provider.

Succes!

Zeer zeer mooi gedaan!
Hoe heb je dit gedaan, met een sketchboard ofzo, want is echt wel goed afgelijnd etc.
Ook de inkleuring heb je heel goed gedaan.

Opgelet: bovenstaande captcha is zeer eenvoudig te ontcijferen!
Je kan het gebruiken, maar het biedt geen zekerheid tegen automated requests.

Het beste is iets te implementeren tegen CSFR (cross site request forgery) zoals bv een unieke waarde meesturen met het formulier.
Captcha kan als je client side het van 1 kant uit ook wilt afschermen.

Ik had het liever op voorhand gemeld...
Mijn collega trok er opeens de stekker uit (xD)
Naja, ik moet niet klagen, want ik had zelf geen tijd en iemand moest het doen... :x

Ik was ondertussen bezig met weer een site te hacken voor Ernst & Young... Wat een leven heb ik, ik ben van 7u deze ochtend tot nu 23u bezig met werken ^o)

Zoals eerder reeds in het klein aangekondigd, zijn we momenteel volop bezig met de migratie van onze servers.

Hierdoor waren wij een half uurtje offline.
Dit om een backup te kunnen maken van alle websites, om deze nadien over te zetten naar de nieuwe server.

Spijtig genoeg is deze backup mislukt.
Hierdoor zal morgenavond deze actie opnieuw worden uitgevoerd.

CP draait momenteel dus nog op de server met 4 gig ram ipv 8 gig.

Ps: morgen (als er niets tussen komt) dus weer minstens een uurtje downtime.

Bedankt voor jullie begrip.
Koen en het technische team

Staat in het contract uitgelegd wat beide partijen verstaan onder "bugs"?
Deze term is namelijk verschillend voor veel mensen.
Typfouten, hackbare zaken, ...

En waren de bugs wel bekend bij de verkoper, is mogelijk zonder fout gebeurd...
Met sources is zo iets heel moeilijk te staven...

Is zeer handig, maar vergeet niet dat ze geen bugs in de sources zelf kunnen voorspellen...
Geeft mogelijk een vals gevoel van veiligheid...

Downloadlink op CP werd aangepast.

http://www.criminalspoint.com/db/download/178.html

+ Ik heb extra tekst erbij gezet met waarschuwing over virussen.

In scope was enkel apache, mysql en de website zelf.

Google heeft door zijn zoekmachine mega veel macht.
Ze weten hoe vaak welke site ongeveer bezocht zal worden, kunnen ze zien en verder schatten.
Zo weten ze welke sites ze moeten adverteren, welke sites ze kunnen overkopen, ...
+ concurrenten kan men eenvoudig een iets lagere positie geven.

http://nl.wikipedia.org/wiki/Capgemini
=> Is ontstaan blijkbaar mee uit Ernst & Young, een afdeling ervan, maar is onafhankelijk gaan werken.

Nee, echt waar, geen grote fouten ontdekt.

Een scan is nooit nutteloos, je moest toch maar eens iets vergeten.
+ Nu kunnen wij aan die klant de zekerheid geven dat de veiligheid in orde is, het is getest door Ernst & Young (ook al heb ik het zelf gedaan - dit werk zal wel worden nagekeken door een collega, dus er is wel degelijk assurance over de kwaliteit - onafhankelijkheid blijft gewaarborgd).

Scan afgelopen.

Veel rommel uitgekomen die niet klopt.
Bv: het blokkeren van de /icons standaard map in apache.
Zal ik doen, maar zie het nut er niet van in.
Alsof niemand weet dat die map bestaat... (xD)

Er is wel 1 aanbeveling bij die ik effectief ga uitvoeren.
Meer informatie volgt.
(Is een kleintje, niet belangrijk, 1 minuutje werk).
Komt er op neer om iets dat bijna niet meer gebruikt wordt in het echt uit te schakelen. Gewoon voor de zekerheid naar de toekomst toe.
Hack kans via deze fout is zeer laag, want er moet eerst een andere hack mogelijk zijn voor deze valt uit te voeren.

Man, wat moet ik hier weer cryptisch zijn...

Of weet je wat: wie het raadt krijgt elite status van me (xD)

Ps: neen, je mag onze server niet gaan scannen.
Kan je een permanente ban opleveren op onze servers.
Trouwens, na 10 requests word je toch geblokkeerd.
Als ik je ip niet in de uitzonderingenlijst zet, is je attack tijdverspilling voor jezelf.

Door een interne security audit van Ernst & Young op 1 van de sites voor een klant, ondergaat onze server op dit moment een aantal zware testen op het vlak van security.

Hierdoor kan CriminalsPoint mogelijk tijdelijk trager laden.

Er worden op dit moment 17.000 verschillende exploits en bugs getest op onze server.

De conclusies die we kunnen trekken voor deze klant zullen ook worden opgevolgd op CriminalsPoint. Zo kunnen we jullie een nog betere kwaliteit aanbieden.

Bedankt voor jullie begrip.

Ps: indien jullie geïnteresseerd zijn publiceer ik na het patchen van de mogelijk gevonden fouten het rapport hier online. (h)

Tip: voeg scripts die je doorstuurt ook toe aan onze scripts database op CP!
Dan kan iedereen er meteen ook van genieten!

CriminalsPoint biedt gratis hosting aan voor dit project.
Zo kunnen meerdere mensen meehelpen en werkt de link wel altijd
Pb me voor details.

Ps: we vragen dan wel elke maand een voortgangsrapportje.
Kwestie dat we geen dode sites gratis hosten

[offtopic]No information about you or the sites you visit is communicated during list updates. The second is in the event that you encounter a reported phishing or malware site. Before blocking the site, Firefox will request a double-check to ensure that the reported site has not been removed from the list since your last update.[/offtopic]

Dit klopt dus duidelijk niet uit mijn bevindingen.
Mijn browser communiceert continu met de cache van Google...
Is een verdacht zaakje...

Verder vertrouw ik Google ook niet.
Mozilla geeft immers gewoon aan dat we naar de privacy policy van Google moeten kijken, welke - zoals we wel weten - zeer slecht is voor ons, eindgebruikers...

Er is niet 1 manier om zo iets op te lossen.
Het begint allemaal met een goede server beveiliging.
Daarop moet je dan veilig programmeren.

In geval van PHP moet je dus alle user input valideren.
Dit wil zeggen dat je eerst moet kijken of wat de eindgebruiker invoert, wel correct is en is toegestaan in je applicatie.

Vandaar ook mijn verbazing.
Kan iemand mijn bevindingen bevestigen?

Natuurlijk staat er wel al veel informatie over in Google, dus ik ga er voorlopig van uit dat dit verhaal klopt.