In een training bij de leverancier van WebInspect, Itamon, werd Cross Site Scripting uitvoerig behandeld. De cursusleider gaf een aantal "leuke" voorbeelden. Sites van o.a. Halfords in Engeland en de Barclays Bank werden voorzien van afbeeldingen die je niet op die websites zou verwachten.
Om het fenomeen echt goed te begrijpen, ben ik opzoek gegaan naar websites die vulnerable zijn om vervolgens uit te proberen wat er allemaal mogelijk is. Bij het zoeken naar een vulnerable website ben ik uitgegaan van websites waar zoekfuncties worden aangeboden. Zo kwam ik op Funda.
Zoekfunctie op de homepage, h1 Hello World /h1 ingevuld en ja hoor, beet!
Zo zie je maar dat het niet zo moeilijk is om een site te vinden die vulnerable is. Het was de eerste site die bij me opkwam om te testen...
Social Engineering?
|
dinsdag, juni 07, 2005
Afgelopen zondag publiceerde De Telegraaf een artikel over een gestolen laptop van een Shell Pernis beveiligings medewerker. De laptop bevatte geheime informatie over o.a. de beveiliging van de raffinaderijen van Shell in Pernis. Informatie die we liever niet in de handen van terroristen zien...
In de rotterdamse editie van de Metro van gisteren valt te lezen dat het de grootste raffinaderij van europa is waar 416.000 vaten ruwe olie per dag worden verwerkt!
Nu maar hopen dat dit geen sterk staaltje Social Engineering is en dat het gewoon een stel laptop dieven waren die niet wisten wat er op de harddisk stond of niet bij de data kunnen. In ieder geval moet die beveiligingsmedewerker zich diep schamen, hij had die laptop nooit achter mogen laten in de kofferbak van zijn auto. Ook Shell zelf heeft hier natuurlijk een belangrijk aandeel in de beveiliging van de informatie. De data zou ge- encrypt opgeslagen moeten worden en als je b.v. een Thinkpad gebruikt kun je d.m.v. biometrische eigenschappen (vingerafdruk) de toegang beveiligen.
In de rotterdamse editie van de Metro van gisteren valt te lezen dat het de grootste raffinaderij van europa is waar 416.000 vaten ruwe olie per dag worden verwerkt!
Nu maar hopen dat dit geen sterk staaltje Social Engineering is en dat het gewoon een stel laptop dieven waren die niet wisten wat er op de harddisk stond of niet bij de data kunnen. In ieder geval moet die beveiligingsmedewerker zich diep schamen, hij had die laptop nooit achter mogen laten in de kofferbak van zijn auto. Ook Shell zelf heeft hier natuurlijk een belangrijk aandeel in de beveiliging van de informatie. De data zou ge- encrypt opgeslagen moeten worden en als je b.v. een Thinkpad gebruikt kun je d.m.v. biometrische eigenschappen (vingerafdruk) de toegang beveiligen.
Postbank gevist - Deel II
|
Omdat ik Lotus Notes gebruik om mijn email te lezen en Firefox om het web te browsen, werkte de Phishing link niet.
Als ik de email met Outlook lees en vervolgens de link met Internet Explorer open, werkt hij wel.
Ik heb een screenshot gemaakt van de Postbank pagina die wordt geopend en van de pagina waarop o.a. de TAN codes worden gevraagd.
Ook de sourcecode van de Phishing pagina heb ik opgeslagen zodat je kunt zien waar het gehost wordt en waar het form naartoe ge-emailed wordt.
Als ik de email met Outlook lees en vervolgens de link met Internet Explorer open, werkt hij wel.
Ik heb een screenshot gemaakt van de Postbank pagina die wordt geopend en van de pagina waarop o.a. de TAN codes worden gevraagd.
Ook de sourcecode van de Phishing pagina heb ik opgeslagen zodat je kunt zien waar het gehost wordt en waar het form naartoe ge-emailed wordt.
Postbank doel van Phishers
|
zaterdag, juni 04, 2005
Vanochtend (09:51) ontving ik een email van ChareneBriel@postbank.nl. Als medewerker van de ING kreeg ik al argwaan toen ik de afzender zag, helemaal toen ik de email las!
Of ik even mijn Postbank Online access details wilde invullen op een webformulier...
Nu ben ik geen Postbank Online gebruiker, maar de email was duidelijk van een Phisher want de Postbank zou nooit vragen om die gegevens even in te vullen op een webpagina anders dan om in te loggen op de website. Dus heb ik de email meteen doorgestuurd naar een collega Security Officer van de Postbank, al was het maar dat 'ie een origineel zou hebben.
Toen de source bekeken.
De email is op Sat, 04 Jun 2005 02:50:46 +0000 verzonden met een Outlook Express email client (Microsoft Outlook Express V6.00.2900.2180) en werd door mijn emailserver ontvangen van: pool-71-96-226-54.dfw.dsl-w.verizon.net (de nummers zijn ook het ip- address van de verzendende emailserver) op: Fri, 3 Jun 2005 23:03:31 -0400 (EDT).
Meteen maar een telnet geprobeerd op port 25 om te zien of die mischien open stond voor anonymous relaying, maar niet. Dus waarschijnlijk gaat het om een gebruiker, aangesloten op het Verizon netwerk.
De bron van de email liet ook de link zien die gebruikt werd om te phishen:
"http://www.google.be/url?q=http://go.msn.com/HML/5/1.asp?target=
http://%61w%636%78s1%%2E%64a.rU%%%09/"target=_blank>
http://www.postbank.nl/
AYGZ8BJq8cxKK1D9DoueirV5sxskdUMyOIxxRH33bCxWehWWxr8b3700gu33195"
Kennelijk een website in het russische .ru top level domain.
Het is me nog niet helemaal duidelijk hoe de gebruikte website url, %61w%636%78s1%%2E%64a.rU%%%09, is ge-encode. Maar daar zal Google me wel bij helpen:)
Overigens stond er om 11:58 al een bericht op nu.nl.
Daar werd niet de afzender genoemd waarvan ik de email heb ontvangen. Er zijn dus meerdere varaianten...
Of ik even mijn Postbank Online access details wilde invullen op een webformulier...
Nu ben ik geen Postbank Online gebruiker, maar de email was duidelijk van een Phisher want de Postbank zou nooit vragen om die gegevens even in te vullen op een webpagina anders dan om in te loggen op de website. Dus heb ik de email meteen doorgestuurd naar een collega Security Officer van de Postbank, al was het maar dat 'ie een origineel zou hebben.
Toen de source bekeken.
De email is op Sat, 04 Jun 2005 02:50:46 +0000 verzonden met een Outlook Express email client (Microsoft Outlook Express V6.00.2900.2180) en werd door mijn emailserver ontvangen van: pool-71-96-226-54.dfw.dsl-w.verizon.net (de nummers zijn ook het ip- address van de verzendende emailserver) op: Fri, 3 Jun 2005 23:03:31 -0400 (EDT).
Meteen maar een telnet geprobeerd op port 25 om te zien of die mischien open stond voor anonymous relaying, maar niet. Dus waarschijnlijk gaat het om een gebruiker, aangesloten op het Verizon netwerk.
De bron van de email liet ook de link zien die gebruikt werd om te phishen:
"http://www.google.be/url?q=http://go.msn.com/HML/5/1.asp?target=
http://%61w%636%78s1%%2E%64a.rU%%%09/"target=_blank>
http://www.postbank.nl/
AYGZ8BJq8cxKK1D9DoueirV5sxskdUMyOIxxRH33bCxWehWWxr8b3700gu33195"
Kennelijk een website in het russische .ru top level domain.
Het is me nog niet helemaal duidelijk hoe de gebruikte website url, %61w%636%78s1%%2E%64a.rU%%%09, is ge-encode. Maar daar zal Google me wel bij helpen:)
Overigens stond er om 11:58 al een bericht op nu.nl.
Daar werd niet de afzender genoemd waarvan ik de email heb ontvangen. Er zijn dus meerdere varaianten...
Website van Les Patrons Cuisiniers gedefaced!
|
Vorige week zondag was ik opzoek naar informatie over een restaurant en wilde dat doen via de website van Les Patrons Cuisiniers, een culinair samenwerkingsverband.
De homepage zag er wat anders uit dan ik had verwacht:
Interessant!
Dus ik bekeek de source en heb de gegevens over het domain opgevraagd bij de SIDN.
De website wordt gehost door WideXS en uit de source kon geconcludeerd worden dat er ook andere sites van WideXS gehackt waren.
Daarom heb ik een email naar de eigenaar van de website en naar WideXS gestuurd.
Alleen van de eigenaar van de website heb ik een dankbare reactie ontvangen omdat ze nog niet wist dat de website gedefaced was.
WideXS zal het wel niet aan de grote klok willen hangen...
De homepage zag er wat anders uit dan ik had verwacht:
Interessant!
Dus ik bekeek de source en heb de gegevens over het domain opgevraagd bij de SIDN.
De website wordt gehost door WideXS en uit de source kon geconcludeerd worden dat er ook andere sites van WideXS gehackt waren.
Daarom heb ik een email naar de eigenaar van de website en naar WideXS gestuurd.
Alleen van de eigenaar van de website heb ik een dankbare reactie ontvangen omdat ze nog niet wist dat de website gedefaced was.
WideXS zal het wel niet aan de grote klok willen hangen...
Abonneren op:
Posts (Atom)