OWASP Local Chapter Meeting
|
maandag, juni 25, 2007
Afgelopen vrijdag ben ik naar de bijeenkomst van de OWASP Local Chapter in Brussel geweest.
Op de agenda stond:
1. Update on Internet Attack Statistics for Belgium in 2006
2. Protecting Web Applications from Universal PDF XSS
3. Buffer Overflows on .Net and Asp.Net
Hillar Leoste van Zone- H kon niet vermoeden dat een Brusselse defacer hem zou helpen met wat extra aandacht voor dit onderwerp...
De website van de Federale Politie was namelijk spontaan gedefaced!
De kwajongen had waarschijnlijk een mooi spoor achter gelaten, want een dag later was hij al opgepakt.
Overigens had ik zelf ook nog een kleine bijdrage in de vorm van een XSS vulnerable website van Microsoft in Belgie. Die ook nog wat M$ Access SQL Injection problemen heeft. Zo bleek uit een anonieme bijdrage op mijn weblog... Ik zal Michael nog eens adviseren de website aan te laten passen:)
Op de agenda stond:
1. Update on Internet Attack Statistics for Belgium in 2006
2. Protecting Web Applications from Universal PDF XSS
3. Buffer Overflows on .Net and Asp.Net
Hillar Leoste van Zone- H kon niet vermoeden dat een Brusselse defacer hem zou helpen met wat extra aandacht voor dit onderwerp...De website van de Federale Politie was namelijk spontaan gedefaced!
De kwajongen had waarschijnlijk een mooi spoor achter gelaten, want een dag later was hij al opgepakt.
Overigens had ik zelf ook nog een kleine bijdrage in de vorm van een XSS vulnerable website van Microsoft in Belgie. Die ook nog wat M$ Access SQL Injection problemen heeft. Zo bleek uit een anonieme bijdrage op mijn weblog... Ik zal Michael nog eens adviseren de website aan te laten passen:)
Lotus Notes Killbot
|
"Ladies and gentlemen, my killbot features Lotus Notes and a machinegun...
It's the finest available"
SEC sues firm for hacking company news releases
|
woensdag, februari 28, 2007
Het aanpassen van financiële nieuwberichten kan grote gevolgen hebben voor de beurskoers van een aandeel. Maar het is natuurlijk ook mogelijk om te handelen met voorkennis als je financiële nieuwsberichten kunt lezen voordat ze gepubliceerd worden.
Matthew Charles Stokes wordt verdacht $ 2.7 mio te hebben verdiend door te handelen met deze onrechtmatig verkregen informatie.
Yahoo Pipes - Rewiring the Web
|
donderdag, februari 22, 2007
Yahoo Pipes!
Ongelooflijk wat Yahoo nu weer heeft ontwikkeld...
Een ontwikkel en produktieplatform om feed gebaseerde webdiensten te integreren tot nieuwe feed gebaseerde webdiensten.
Alleen het ontwikkelplatform opzich is al een belevenis. Een state of the art browser fat client applicatie.
Mijn eerste stappen hebben een ge-aggregeerde Lotus Notes Web Log feed opgeleverd.
Maar dat zal zeker niet het laatste zijn wat ik aan elkaar gesoldeerd heb:)
Nu het resultaat nog in een Windows Vista Sidebar Gadget en ik kan het nieuws op mijn bureaublad lezen...
Het overzicht van de samengevoegde Lotus Notes gerelateerde weblogs:
Ed Brill
http://www.edbrill.com/ebrill/edbrill.nsf/blog.rss
Alan Le Pofsky
http://www.alanlepofsky.net/alepofsky/alanblog.nsf/blog.rss
OpenNTF All Categories
http://www.openntf.org/mainbar.nsf/rssfeed.xml?OpenPage
Lotus Geek (Rocky Oliver)
http://www.cafeshops.com/lotusgeek
Codestore
http://www.codestore.net/store.nsf/rss.xml
DominoBlog
http://www.dominoblog.com/dominoblog/dblog.nsf/feed.rss
Declan Lynch
http://www.qtzar.com/blogs/qtzar.nsf/stories.xml
Ongelooflijk wat Yahoo nu weer heeft ontwikkeld...
Een ontwikkel en produktieplatform om feed gebaseerde webdiensten te integreren tot nieuwe feed gebaseerde webdiensten.
Alleen het ontwikkelplatform opzich is al een belevenis. Een state of the art browser fat client applicatie.
Mijn eerste stappen hebben een ge-aggregeerde Lotus Notes Web Log feed opgeleverd.
Maar dat zal zeker niet het laatste zijn wat ik aan elkaar gesoldeerd heb:)
Nu het resultaat nog in een Windows Vista Sidebar Gadget en ik kan het nieuws op mijn bureaublad lezen...
Het overzicht van de samengevoegde Lotus Notes gerelateerde weblogs:
Ed Brill
http://www.edbrill.com/ebrill/edbrill.nsf/blog.rss
Alan Le Pofsky
http://www.alanlepofsky.net/alepofsky/alanblog.nsf/blog.rss
OpenNTF All Categories
http://www.openntf.org/mainbar.nsf/rssfeed.xml?OpenPage
Lotus Geek (Rocky Oliver)
http://www.cafeshops.com/lotusgeek
Codestore
http://www.codestore.net/store.nsf/rss.xml
DominoBlog
http://www.dominoblog.com/dominoblog/dblog.nsf/feed.rss
Declan Lynch
http://www.qtzar.com/blogs/qtzar.nsf/stories.xml
ADSL Provider Migratie en Gadgets
|
donderdag, januari 18, 2007
Vandaag is mijn internetverbinding gemigreerd van Planet Internet naar XS4ALL. Ik heb over een hoop problemen gelezen op diverse forums, maar ik heb absoluut niets te klagen. In ieder geval over het technische deel van de migratie. Ik moet nog even wachten tot begin februari om te zien dat Planet ook echt de automatische incasso stopt...
De technische migratie stelde niets voor. De configuratie van mijn Wireless ADSL Modem Router heb ik op twee plaatsen aangepast. De Wan verbinding moest aangepast worden omdat er nu met een XS4ALL userid en password ingelogd moet worden en in het LAN gedeelte moest ik de DNS servers van XS4ALL opgeven. Dan een ipconfig /registerdns en klaar is Kees!
Appeltje, eitje, of niet?!
Het was ook wel grappig om te zien hoe het modem de verbinding ging opbouwen. Eerst de ADSL verbinding, SHOWTIME en vervolgens verscheen mijn nieuwe ip address.
Het zal er wel degelijk mee te maken hebben dat ik naar een "friendly" provider ben overgestapt, maar het verliep echt vlekkeloos!
Vanwege het nieuwe ip address moest ik nog wat wijzigingen in de DNS configuraties van een aantal domeinen die ik zelf host op mijn MAC Mini aanpassen. Goede documentatie is daarbij het halve werk. Even inloggen op een paar webconsoles van de diverse service providers, ip address aanpassen, testen en klaar...
Toen werd het tijd voor mijn nieuwe VOIP gadget. De Siemens SL75 WLAN. Ook daarvan viel de configuratie me mee. Aanmelden op het wireless lan, ip address configureren en via de webinterface de configuratie afmaken. Er zijn wat security issues, maar wat is het een mooi apparaat. De VOIP wereld openbaard zich nu pas echt voor me. Draadloos VOIP'en, SUPERRRRR! Eens kijken of het me ook echt gaat lukken om volgende week gratis vanuit het buitenland naar huis te bellen en vice versa.
Wordt vervolgd...
De technische migratie stelde niets voor. De configuratie van mijn Wireless ADSL Modem Router heb ik op twee plaatsen aangepast. De Wan verbinding moest aangepast worden omdat er nu met een XS4ALL userid en password ingelogd moet worden en in het LAN gedeelte moest ik de DNS servers van XS4ALL opgeven. Dan een ipconfig /registerdns en klaar is Kees!
Appeltje, eitje, of niet?!
Het was ook wel grappig om te zien hoe het modem de verbinding ging opbouwen. Eerst de ADSL verbinding, SHOWTIME en vervolgens verscheen mijn nieuwe ip address.
Het zal er wel degelijk mee te maken hebben dat ik naar een "friendly" provider ben overgestapt, maar het verliep echt vlekkeloos!
Vanwege het nieuwe ip address moest ik nog wat wijzigingen in de DNS configuraties van een aantal domeinen die ik zelf host op mijn MAC Mini aanpassen. Goede documentatie is daarbij het halve werk. Even inloggen op een paar webconsoles van de diverse service providers, ip address aanpassen, testen en klaar...
Toen werd het tijd voor mijn nieuwe VOIP gadget. De Siemens SL75 WLAN. Ook daarvan viel de configuratie me mee. Aanmelden op het wireless lan, ip address configureren en via de webinterface de configuratie afmaken. Er zijn wat security issues, maar wat is het een mooi apparaat. De VOIP wereld openbaard zich nu pas echt voor me. Draadloos VOIP'en, SUPERRRRR! Eens kijken of het me ook echt gaat lukken om volgende week gratis vanuit het buitenland naar huis te bellen en vice versa.
Wordt vervolgd...
[Full Disclosure] Microsoft BeLux website gehacked...
|
dinsdag, november 07, 2006
Gehacked is mischien wat overdreven gesteld, maar toch!
Ready for a New Day
Een vriend van me, Michael Kogeler, is Marketing Organisation Director bij Microsoft BeLux. a.s. Donderdag wordt er een groot evenement georganiseerd rondom de lancering van Windows Vista, 2007 Microsoft Office System en Exchange Server 2007. Het evenement wordt ondersteunt met een website. Die ik natuurlijk ben gaan bekijken omdat ik benieuwd was naar de agenda. Maar in een vorm van beroepsdeformatie heb ik het ook een beetje onderworpen aan een kleine security test...
Cross Site Scripting (XSS)
De website www.readyforanewday.be is in Flash gebouwd en wordt gehost op het Windows 2003 server platform met de IIS 6.0 webserver.
De website is gebouwd door Proximity, onderdeel van het BBDO netwerk. Helaas zitten er Cross Site Scripting problemen in het formulier waarmee collega's uitgenodigd kunnen worden voor het evenement.
Er wordt geen input en output validatie uitgevoerd waardoor het mogelijk is HTML en JavaScript in de velden in te voeren die nog wordt uitgevoerd ook!
Zo heb ik een uitnodiging van Steve Ballmer voor Michael gemaakt...
(link naar de printscreen)
[Full Disclosure]
Als rechtgeaarde "whitehat" moet ik natuurlijk laten zien hoe de hack in elkaar steekt en wat eraan gedaan kan worden om misbruik verder te voorkomen.
Het probleem zit o.a. in het "Invite a colleague" formulier. Bij het testen op XSS vulnerabilities begin ik meestal met het invoeren van een eenvoudige HTML of JavaScript tag. In dit geval in het veld First name. Zet daar b.v. tussen de h1 tags een tekst in en klik op de preview knop.
Als je dan de tekst in grote dikke letters ziet, weet je dat de input klakkeloos wordt overgenomen en wordt uitgevoerd door de webserver. Feitelijk kun je dan alle html tags gebruiken om de website te verbouwen...
Ik ben dat vervolgens gaan uitbouwen met een iframe waarin ik een foto van Steve Ballmer open met een tekst waardoor het lijkt dat Michael door Steve himself wordt uitgenodigd...
Hoe voorkomen?
De oplossing bestaat uit het valideren van de input. Door HTML tags te filteren kom je al een heel eind. Beter nog is het gebruik van een regular expression waarmee alle mogelijke opties ongedaan gemaakt kunnen worden.
Adobe beschreef het probleem al in 2004.
Nu maar hopen dat Proximity het probleem snel oplost. Microsoft heeft een hoop geinvesteerd in haar security imago en door dergelijke domme fouten, kunnen ze bijna weer opnieuw beginnen...
Ready for a New Day
Een vriend van me, Michael Kogeler, is Marketing Organisation Director bij Microsoft BeLux. a.s. Donderdag wordt er een groot evenement georganiseerd rondom de lancering van Windows Vista, 2007 Microsoft Office System en Exchange Server 2007. Het evenement wordt ondersteunt met een website. Die ik natuurlijk ben gaan bekijken omdat ik benieuwd was naar de agenda. Maar in een vorm van beroepsdeformatie heb ik het ook een beetje onderworpen aan een kleine security test...
Cross Site Scripting (XSS)
De website www.readyforanewday.be is in Flash gebouwd en wordt gehost op het Windows 2003 server platform met de IIS 6.0 webserver.
De website is gebouwd door Proximity, onderdeel van het BBDO netwerk. Helaas zitten er Cross Site Scripting problemen in het formulier waarmee collega's uitgenodigd kunnen worden voor het evenement.
Er wordt geen input en output validatie uitgevoerd waardoor het mogelijk is HTML en JavaScript in de velden in te voeren die nog wordt uitgevoerd ook!
Zo heb ik een uitnodiging van Steve Ballmer voor Michael gemaakt...
(link naar de printscreen)
[Full Disclosure]
Als rechtgeaarde "whitehat" moet ik natuurlijk laten zien hoe de hack in elkaar steekt en wat eraan gedaan kan worden om misbruik verder te voorkomen.
Het probleem zit o.a. in het "Invite a colleague" formulier. Bij het testen op XSS vulnerabilities begin ik meestal met het invoeren van een eenvoudige HTML of JavaScript tag. In dit geval in het veld First name. Zet daar b.v. tussen de h1 tags een tekst in en klik op de preview knop.
Als je dan de tekst in grote dikke letters ziet, weet je dat de input klakkeloos wordt overgenomen en wordt uitgevoerd door de webserver. Feitelijk kun je dan alle html tags gebruiken om de website te verbouwen...
Ik ben dat vervolgens gaan uitbouwen met een iframe waarin ik een foto van Steve Ballmer open met een tekst waardoor het lijkt dat Michael door Steve himself wordt uitgenodigd...
Hoe voorkomen?
De oplossing bestaat uit het valideren van de input. Door HTML tags te filteren kom je al een heel eind. Beter nog is het gebruik van een regular expression waarmee alle mogelijke opties ongedaan gemaakt kunnen worden.
Adobe beschreef het probleem al in 2004.
Nu maar hopen dat Proximity het probleem snel oplost. Microsoft heeft een hoop geinvesteerd in haar security imago en door dergelijke domme fouten, kunnen ze bijna weer opnieuw beginnen...
Ajax (in)Security
|
dinsdag, oktober 24, 2006
In een presentatie over web applicatie security van de SNUG, besprak ik ook AJAX. De combinatie van bestaande programmeertechnieken om rijkere client applicaties te bouwen heeft een potentieel security probleem in zich.
In een webcast van SPI Dynamics wordt dat ook nog eens benadrukt.
In een webcast van SPI Dynamics wordt dat ook nog eens benadrukt.
Nieuwe tool voor de hacker: Google's Code Search
|
maandag, oktober 23, 2006
Google Hacking is een bekend fenomeen geworden waarbij hackers de zoekfunctionaliteit van Google Search gebruiken om zichzelf toegang te verschaffen tot data.
Daar is nu een krachtige tool bijgekomen, Google Code Search.
Het is een searchengine waarmee door sourcecode gezocht kan worden.
Google geeft in de FAQ aan dat het "publicly accessible source code hosted on the Internet" indexeerd voor deze service. Maar net als bij de eerdere Google Hacking voorbeelden zit hem daar juist de pijn... Want het indexeert ook backups die niet verwijderd zijn of andere code waarvan het niet de bedoeling is dat iedereen die kan inzien. Zo kan het voorkomen dat copyrighted code wordt weergeven...
Het is een behoorlijk geavanceerde service. Het is bijvoorbeeld mogelijk regular expressions te gebruiken in de zoekopdracht. En de engine detecteert om welke programmeertaal het gaat...
De resultaten worden in Google's Search Data Api xml feed aangeboden zodat ze geïntegreerd kunnen worden in een ontwikkeltool als Eclipse.
Zelf proberen?
Zoek maar een op security hole of security todo...
Daar is nu een krachtige tool bijgekomen, Google Code Search.
Het is een searchengine waarmee door sourcecode gezocht kan worden.
Google geeft in de FAQ aan dat het "publicly accessible source code hosted on the Internet" indexeerd voor deze service. Maar net als bij de eerdere Google Hacking voorbeelden zit hem daar juist de pijn... Want het indexeert ook backups die niet verwijderd zijn of andere code waarvan het niet de bedoeling is dat iedereen die kan inzien. Zo kan het voorkomen dat copyrighted code wordt weergeven...
Het is een behoorlijk geavanceerde service. Het is bijvoorbeeld mogelijk regular expressions te gebruiken in de zoekopdracht. En de engine detecteert om welke programmeertaal het gaat...
De resultaten worden in Google's Search Data Api xml feed aangeboden zodat ze geïntegreerd kunnen worden in een ontwikkeltool als Eclipse.
Zelf proberen?
Zoek maar een op security hole of security todo...
Assa Abloy in de Veerhaven te Rotterdam
|
zondag, juni 04, 2006
Vandaag ben ik even gaan kijken in de Veerhaven.De evenementen rond de Volvo Ocean Race beginnen morgen dus wilde ik even rustig rondlopen in de haven.
De VO 70's liggen nog ergens op de Noordzee te dobberen, maar er lag al wel een oud gediende uit de VOR van 2001- 2002 in de haven. De Assa Abloy, een VO 60 die als tweede eindigde in de vorige editie van de race.
Waarschijnlijk gaat ze deelnemen aan de Vintage Races.
De uitslag van de VOR 2001- 2002:1 Illbruck Challenge
2 ASSA ABLOY
3 Amer Sports One
4 Team Tyco
5 News Corp
6 Djuice Dragons
7 Team SEB
8 Amer Sports Too
De Assa Abloy won, net als de Illbruck Challenge, 4 etapes!
Na wat speuren op het web, blijkt de Assa Abloy, gedoopt: Elisabeth Rehn, te koop.Voor eur. 475.000,- kun je je VO 60 project beginnen!... Bijkomend voordeel de delivery is al geregeld.
Mac Mini als webserver - deel 4
|
zondag, maart 26, 2006
Joomla! draait nu op de Mac Mini. De komende weken zal ik een template gaan ontwikkelen en de Ceberus Helpdesk applicatie gaan intergreren.
Mac Mini als webserver - deel 3
|
donderdag, maart 23, 2006
De Mac Mini webserver is nu operationeel. Ik heb XAMPP van Apache Friends gebruikt om een standaard set te installeren.
Deze set bestaatuit:
Apache, MySQL, PHP & PEAR, SQLite, Perl, ProFTPD, phpMyAdmin, OpenSSL, GD, Freetype2, libjpeg, libpng, zlib, Ming, Webalizer, mod_perl, eAccelerator, phpSQLiteAdmin.
De installatie verliep niet geheel vlekkeloos. Zo klopte b.v. het commando om XAMPP te beveiligen niet. Op de website staat het commando: /opt/lampp/lampp security maar dat is het commando voor Linux. Onder MAC OS X moet het zijn: /Applications/xampp/xamppfiles/mampp security.
Nu alles draait kan ik het gaan testen. Zo wil ik weten wat de performance is van de website onder http en https. En ik wil het stroom verbruik onder de verschillende belastingniveaus meten.
-wordt vervolgd-
Mac Mini als webserver - deel 2
|
maandag, maart 20, 2006
Tools voor het hosten van websites op de Mac Mini:
iTools van Tenon Intersystems;
En er is een handleiding die stap voor stap de installatie van Apache, MySQL en BBPHP beschrijft.
Wordt vervolgd...
iTools van Tenon Intersystems;
En er is een handleiding die stap voor stap de installatie van Apache, MySQL en BBPHP beschrijft.
Wordt vervolgd...
Mac Mini als webserver
|
zondag, maart 19, 2006
Na een aantal weken zoeken naar de optimale webserver hardware voor thuis, heb ik gekozen voor de Mac Mini.
Naar mijn mening levert de Mac Mini de beste prijs/ prestatie.
Het is een energie zuinige, compacte en complete oplossing.
Tenon Intersystems heeft februari vorig jaar een onderzoek gedaan naar de mogelijkheden van de Mac Mini als webserver. De uitslag was op z'n minst opvallend: "The Mac mini topped out at 1239 hits per second, yielding 2502 Kbytes/sec of data served, while the dual-G5 held up 2174 hits per second, yielding 4387 Kbytes/sec."
Dit heeft de ISP macminicolo doen besluiten een commeciele dienst op basis van de Mac Mini aan te gaan bieden.
De komende weken zal ik mijn installatie online brengen via: https://extranet.favroom.nl
Naar mijn mening levert de Mac Mini de beste prijs/ prestatie.
Het is een energie zuinige, compacte en complete oplossing.
Tenon Intersystems heeft februari vorig jaar een onderzoek gedaan naar de mogelijkheden van de Mac Mini als webserver. De uitslag was op z'n minst opvallend: "The Mac mini topped out at 1239 hits per second, yielding 2502 Kbytes/sec of data served, while the dual-G5 held up 2174 hits per second, yielding 4387 Kbytes/sec."
Dit heeft de ISP macminicolo doen besluiten een commeciele dienst op basis van de Mac Mini aan te gaan bieden.
De komende weken zal ik mijn installatie online brengen via: https://extranet.favroom.nl
Ma's Cruise
|
woensdag, februari 15, 2006
CruiseMijn moeder vertrekt morgen naar Barbados voor een cruise door het Amazone gebied.
Fred Olsen Cruise Lines
Op de website van Fred Olsen Cruise Lines vond ik uitgereidde informatie en een mooie kaart.
Zo is er informatie te vinden over alle plaatsen die aangedaan worden en de excursies die gemaakt kunnen worden. En natuurlijk informatie over het ship de Braemar.
Een mooi schip al vind ik de klassieke lijnen van de BlackWatch toch wel mooier.
Shiplocator
De website heeft ook een verrassende feature, de shiplocator. De schepen zijn via GPS te volgen.
Als je de source bekijkt van de pagina met de shiplocator, zie je dat de applet van purplefinder.com komt. Ook het userid (foc) en password (freols) staan in de source. Op zich niet zo spannend, maar met die informatie kun je dus inloggen op de site en op een andere manier de informatie van het schip en zijn positie raadplegen. De applet wordt ook veel groter weergegeven.
USB stick
|
vrijdag, februari 03, 2006
Vorige maand zijn er twee USB memoy sticks gevonden met staatsgeheimen. Beide keren ging het om documenten van het ministerie van Defensie.
De ministeries die werken met staatsgeheimen hebben procedures voor het omgaan met staatsgeheimen en USB memory sticks voor de opslag van data.
Ze gebruiken speciale laptops waarmee data encrypt op USB sticks opgeslagen kan worden. Ze gebruiken ook kleurgecodeerde USB sticks. Rode sticks bevatten staatsgeheimen en mogen het kantoor niet verlaten, zwarte sticks bevatten encrypte staatsgeheimen en mogen de kantoren wel verlaten.
De gevonden sticks waren persoonlijk eigendom van degene die hem verloren had. De medewerkers van het ministerie hadden zich dus niet aan de procedures gehouden!
De ministeries die werken met staatsgeheimen hebben procedures voor het omgaan met staatsgeheimen en USB memory sticks voor de opslag van data.
Ze gebruiken speciale laptops waarmee data encrypt op USB sticks opgeslagen kan worden. Ze gebruiken ook kleurgecodeerde USB sticks. Rode sticks bevatten staatsgeheimen en mogen het kantoor niet verlaten, zwarte sticks bevatten encrypte staatsgeheimen en mogen de kantoren wel verlaten.
De gevonden sticks waren persoonlijk eigendom van degene die hem verloren had. De medewerkers van het ministerie hadden zich dus niet aan de procedures gehouden!
Abonneren op:
Posts (Atom)