Archief - 1 April

[Thallyos]

Onze webmaster heeft mailtje gekregen, het zou vriendelijk zijn mochten jullie het systeem even niet misbruiken

Alhoewel, met the internets, ijdele hoop vrees ik...

[Timmos]

Score van SOTD gaat de wetenschappelijke toer op...

[Timmos]

hahaha

Deze score is verwijderd door de community.

[grinshu]

Score van SOTD gaat de wetenschappelijke toer op...

lol, goeike

[azerty_2006]

Toch even stressen dat het niet enkel de SOTD is die vatbaar is:
- Rating op arcade games
- game ratings
- ...

Alles waar gevote kan worden zeg maar .
En idd de code die ik poste was bedoelt als pseudo-fix.

[[SMURF]Lolsmurf]

Khaat die kutgrappen

[GammaGamer]

Onze webmaster heeft mailtje gekregen, het zou vriendelijk zijn mochten jullie het systeem even niet misbruiken

Alhoewel, met the internets, ijdele hoop vrees ik...

It's not up to us to make this website idiotproof

[Muscleduck]

Aha, ik vond het al raar dat de SotD score 1.14E38 oid was

[V1nce]

Khaat die kutgrappen

Gij zijt een kutsmurf

[Charlaweyd]

Lol, mooie 'bug'

[freekydude]

Stop nu maar met het knoeien. Zet die scores weer zoals ze waren -.-'

[Carrotman]

ik haal die scores wel naar beneden

[[SMURF]Lolsmurf]

Gij zijt een kutsmurf

Gaan we zo beginnen ?

gij se ********************************************** (heb al infractions genoeg)

[Herr Doktor]

Gij zijt een kutsmurf

burn in hell!!

[|) ][ |V| ][]

Gaan we zo beginnen ?

gij se ********************************************** (heb al infractions genoeg)

Jij hebt er imo pas genoeg als je er 30 hebt.

[[BAT] Hydra]

Azerty wilt gewoon op een leuke manier tonen dat het vote systeem vatbaar is voor een Cross-site scripting (XSS) "aanval"..

XSS aanvallen laten naar mijn weten een script runnen op de aangevallen pagina, ter nadele van hun slachtoffers.

Heel simpel vb, ik schrijf in mijn post <script>...</script> en dat wordt door uw browser uitgevoerd.

Wat hier gebeurd is, heeft gewoon met input checking te maken, en is geen XSS aanval.

[demon326]

XSS aanvallen laten naar mijn weten een script runnen op de aangevallen pagina, ter nadele van hun slachtoffers.

Heel simpel vb, ik schrijf in mijn post <script>...</script> en dat wordt door uw browser uitgevoerd.

Wat hier gebeurd is, heeft gewoon met input checking te maken, en is geen XSS aanval.

"Er zijn ruwweg drie verschillende soorten XSS aanvallen. Bij het eerste soort XSS aanval wordt in een client-side script de invoer van de gebruiker gebruikt, bijvoorbeeld informatie uit de URL, om een stuk van de pagina te genereren, zonder deze informatie te controleren of te beveiligen"

Wat hierboven staat is precies het geen dat gebeurd....

[[BAT] Hydra]

"Er zijn ruwweg drie verschillende soorten XSS aanvallen. Bij het eerste soort XSS aanval wordt in een client-side script de invoer van de gebruiker gebruikt, bijvoorbeeld informatie uit de URL, om een stuk van de pagina te genereren, zonder deze informatie te controleren of te beveiligen"

Wat hierboven staat is precies het geen dat gebeurd....

Neen hoor, wat hier gebeurd is, is GEEN XSS! De uitleg op de nederlandstalige wikipedia is misleidend en daarom interpreteer jij die fout.

XSS = Aanvaller injecteert scripts (typisch javascript) door gebruik te maken van gebrekkige invoercontrole. Die scripts lezen dan gevoelige informatie van de slachtoffers.

XSS != gebrekkige invoer check (wat hier het geval is)

XSS = gebrekkige invoer check misbruiken om een script te injecteren dat aanvaller gebruikt om gevoelige informatie te 'stelen'

Lees er de engelstalige wikipedia eens op na, die is beter.

[Lifen]

XSS kan je overal gebruiken waar de users data kunnen ingeven en waar die data niet of onvoldoende gechecked is.

Een klein voorbeeldje:

Je hebt een site, http://www.example.com/search?q=hierkomtdequery
Als we stellen dat op die site een searchbox staat (note "search?q=") dan zal de site nu zoeken naar "hierkomtdequery", oftewel de string die de user heeft ingegeven.

Nu als de site dit niet zou filteren zou men een XSS aanval kunnen doen.
Meest gebruikte methode om te checken op een vulnerability:

<script>alert('xss')</script>

De query zou nu http://www.example.com/search?q=<script>alert('xss')</script> zijn wat dus zou resulteren in de site met een pop-up box met de tekst "xss" in.

Nu kan de aanvaller mensen misleiden door bv. de site automatisch te laten refereren naar zijn eigen site waar dan een script om cookies te getten opstaat of waar één of ander virus op staat. Of misschien zelfs om een poll op één of andere site te manipuleren.

Correct me if I'm wrong!

[[BAT] Hydra]

XSS kan je overal gebruiken waar de users data kunnen ingeven en waar die data niet of onvoldoende gechecked is.

Een klein voorbeeldje:

Je hebt een site, http://www.example.com/search?q=hierkomtdequery
Als we stellen dat op die site een searchbox staat (note "search?q=") dan zal de site nu zoeken naar "hierkomtdequery", oftewel de string die de user heeft ingegeven.

Nu als de site dit niet zou filteren zou men een XSS aanval kunnen doen.
Meest gebruikte methode om te checken op een vulnerability:

<script>alert('xss')</script>

De query zou nu http://www.example.com/search?q=<script>alert('xss')</script> zijn wat dus zou resulteren in de site met een pop-up box met de tekst "xss" in.

Nu kan de aanvaller mensen misleiden door bv. de site automatisch te laten refereren naar zijn eigen site waar dan een script om cookies te getten opstaat of waar één of ander virus op staat. Of misschien zelfs om een poll op één of andere site te manipuleren.

Correct me if I'm wrong!

Klopt hoor, je injecteert een scriptje op die website. Maar jij haalt er als aanvaller geen voordeel uit als je een eenvoudig scriptje zoals een alert 'injecteert'.