jaargang -23 - laatste artikel 2-11 18:00 - 75347 artikelen -
Tiener vindt lekken in Google, Facebook en Microsoft
Een Noorse tiener die sinds zijn veertiende naar lekken in software zoekt, heeft inmiddels kwetsbaarheden in de code van Microsoft, Apple, Google en Facebook gevonden. De 15-jarige Cim Stordal staat in de Google Security Hall of Fame, wordt bedankt in advisories van Apple en Microsoft en kreeg een White Hat Visa card van Facebook met 500 dollar erop. "Ik kreeg een kaart voor een self-persistent cross-site scripting-lek op Facebook, en een nonpersistent cross-site scripting-lek bij Google, Microsoft en Apple", laat hij in een interview met Cnet weten. "Ik kijk gewoon rond op de site om te zien waar ik HTML en andere dingen kan invoeren en of het niet door de broncode wordt gefilterd. Vaak filteren ze sommige karakters, maar vergeten ze andere of vergeten ze de invoer helemaal. Een aanvaller wil vaak het cookie, waarmee hij als de gebruiker kan inloggen." Het lek in Facebook had hij na vier dagen gevonden, terwijl het Google-lek hem drie dagen kostte. Bij Apple had hij slechts vijf minuten nodig om twee cross-site scripting-lekken te vinden. Doordat hij eerst de getroffen bedrijven waarschuwde waren die ook tevreden. Inmiddels richt Stordal zich op het vinden van lekken in mobiele apparaten.
Gerelateerde artikelen» Noorse tiener laat bestelling McDonalds tatoeëren
» Belgisch zwembad lekt 18.000 liter per dag, en niemand weet waarom
» Bang dat je naaktfotos lekken? Stuur ze dan naar Facebook
» Wiki lekt, Butterfly niet
» Nieuw kanaal lekt
» Politieonderzoek naar lekken gelekt
» Biodiesel laat tanks verroesten
» Studente overleeft lekkende hersenen
» Belgisch zwembad lekt 18.000 liter per dag, en niemand weet waarom
» Bang dat je naaktfotos lekken? Stuur ze dan naar Facebook
» Wiki lekt, Butterfly niet
» Nieuw kanaal lekt
» Politieonderzoek naar lekken gelekt
» Biodiesel laat tanks verroesten
» Studente overleeft lekkende hersenen
Reacties
09-02-2012 12:11:28
Een ethical hacker. Je hoort weinig over zulke personen. Goed gedaan!
09-02-2012 12:11:31
Hmm, dicht je een beveiligingslek, krijg je als bedankje een vermelding in een Hall of Fame en een Credit Card met 500 dollar. Die is niet goed in zaken doen 
09-02-2012 12:12:53
een leuke beloning mischien wel een beetje krenterig
09-02-2012 12:14:25
15-jarige... netjes hoor.
Wel weinig geld, maar waarschijnlijk vonden zij zijn leeftijd meetellen... wedden dat hij op zijn 20e minstends 4x meer kreeg...?
Wel weinig geld, maar waarschijnlijk vonden zij zijn leeftijd meetellen... wedden dat hij op zijn 20e minstends 4x meer kreeg...?
09-02-2012 12:19:23
Quote @Silvyah:
15-jarige... netjes hoor.
Wel weinig geld, maar waarschijnlijk vonden zij zijn leeftijd meetellen... wedden dat hij op zijn 20e minstends 4x meer kreeg...?
Denk zelfs wel meer. 15-jarige... netjes hoor.
Wel weinig geld, maar waarschijnlijk vonden zij zijn leeftijd meetellen... wedden dat hij op zijn 20e minstends 4x meer kreeg...?
09-02-2012 12:39:15
Ik vind ook telkens overal lekken maar ik word er niet voor betaald 
09-02-2012 12:41:01
Nou ik denk wel meer hoor.
Aangezien je ook niets kunt zeggen en de sites gewoon open kunt laten ...
Aangezien je ook niets kunt zeggen en de sites gewoon open kunt laten ...
09-02-2012 13:16:44
Ik vind ook overal lekken waar ik maar kijk.. maar dat is binnenshuis welteverstaan 
09-02-2012 13:28:32
@Madarian:
Dit is gewoon een hacker. Alle black hat en grey hat varianten zijn in terminologie crackers als ik het wel heb.. Hacker impliceert al white hat, alleen dat is nog niet doorgedrongen tot spreektaal.
@richrdd:
Ik denk alleen als je ingehuurd wordt om lekken te vinden en het gaat natuurlijk om hoe gevaarlijk een lek kan zijn.
@Wimmeke68:
Je weet niet hoe gevaarlijk het lek was. Of weet jij toevallig hoe gevaarlijk een self-persistent cross-site scripting-lek kan zijn?
Die 500 euro is misschien wel een marktconforme beloning en is het eigenlijk helemaal niet zo'n gevaarlijk lek... Misschien kun je via dat lek alleen maar de tekstkleur van wat je op een wall post aanpassen of iets anders niet al te wereldschokkends.
Laatste edit 09-02-2012 13:29
Dit is gewoon een hacker. Alle black hat en grey hat varianten zijn in terminologie crackers als ik het wel heb.. Hacker impliceert al white hat, alleen dat is nog niet doorgedrongen tot spreektaal.
@richrdd:
Ik denk alleen als je ingehuurd wordt om lekken te vinden en het gaat natuurlijk om hoe gevaarlijk een lek kan zijn.
@Wimmeke68:
Je weet niet hoe gevaarlijk het lek was. Of weet jij toevallig hoe gevaarlijk een self-persistent cross-site scripting-lek kan zijn?
Die 500 euro is misschien wel een marktconforme beloning en is het eigenlijk helemaal niet zo'n gevaarlijk lek... Misschien kun je via dat lek alleen maar de tekstkleur van wat je op een wall post aanpassen of iets anders niet al te wereldschokkends.
Laatste edit 09-02-2012 13:29
09-02-2012 14:52:08
De beloning in geld is niet veel, misschien krenterig. De echte beloning is in de hall of fame staan. Staat enorm leuk op je CV als je voor een baan in de IT gaat solliciteren. Dat is de echte beloning.
09-02-2012 15:05:49
Quote @Madarian:
Een ethical hacker. Je hoort weinig over zulke personen. Goed gedaan!
Een ethical hacker. Je hoort weinig over zulke personen. Goed gedaan!
Das wel gek, want bijna alle hackers zijn van dit type.
09-02-2012 15:33:55
ik zou er keihard misbruik van maken.
Laatste edit 09-02-2012 15:34
Laatste edit 09-02-2012 15:34
Laatste edit 09-02-2012 15:35
Laatste edit 09-02-2012 15:35
Laatste edit 09-02-2012 15:36
Laatste edit 09-02-2012 15:36
Sjaak: 6 pogingen en allemaal mislukt?
Laatste edit 09-02-2012 15:34
Laatste edit 09-02-2012 15:34
Laatste edit 09-02-2012 15:35
Laatste edit 09-02-2012 15:35
Laatste edit 09-02-2012 15:36
Laatste edit 09-02-2012 15:36
Sjaak: 6 pogingen en allemaal mislukt?
09-02-2012 16:06:45
Om dit soort lekken te vinden hoef je geen grote expert te zijn, je moet even weten wat cross-site scripting betekent en je moet iets weten van HTML en JavaScript - de code waarmee webpagina's gemaakt worden.
Het enige wat die jongen doet is in invoervelden op websites proberen HTML of JavaScript-code in te voeren en dan kijken of de website de code daadwerkelijk uitvoert, of alleen maar als tekst op het scherm laat zien. Als de code wordt uitgevoerd dan is dat een potentieel beveiligingsprobleem.
Een simpel voorbeeld: Als je zoiets zou invoeren in een invoerveld (bijvoorbeeld de box waarin je antwoorden kunt schrijven hier op WMR, of een veld waar je een usernaam moet invullen ofzo):
<script type="text/javascript">alert('Hallo')</script>
Als je na het drukken op de submit-knop ineens een schermpje met "Hallo" te zien krijgt, dan heeft de website een cross-site scripting lek: hij voert de JavaScript code uit, in plaats van het alleen maar als tekst te laten zien.
Controle op dit soort dingen worden door programmeurs van websites snel vergeten, maar zijn ook makkelijk te verhelpen.
Wat er in principe kan gebeuren is dat een aanvaller andere mensen op die manier kan omleiden naar een nepwebsite die heel erg lijkt op de echte website. Daar kunnen vervolgens gegevens gestolen worden; als een argeloze gebruiker op de nepwebsite zijn usernaam en password invult bijvoorbeeld, dan heeft de hacker nu dus zijn inloggegevens te pakken.
Laatste edit 09-02-2012 16:11
Het enige wat die jongen doet is in invoervelden op websites proberen HTML of JavaScript-code in te voeren en dan kijken of de website de code daadwerkelijk uitvoert, of alleen maar als tekst op het scherm laat zien. Als de code wordt uitgevoerd dan is dat een potentieel beveiligingsprobleem.
Een simpel voorbeeld: Als je zoiets zou invoeren in een invoerveld (bijvoorbeeld de box waarin je antwoorden kunt schrijven hier op WMR, of een veld waar je een usernaam moet invullen ofzo):
<script type="text/javascript">alert('Hallo')</script>
Als je na het drukken op de submit-knop ineens een schermpje met "Hallo" te zien krijgt, dan heeft de website een cross-site scripting lek: hij voert de JavaScript code uit, in plaats van het alleen maar als tekst te laten zien.
Controle op dit soort dingen worden door programmeurs van websites snel vergeten, maar zijn ook makkelijk te verhelpen.
Wat er in principe kan gebeuren is dat een aanvaller andere mensen op die manier kan omleiden naar een nepwebsite die heel erg lijkt op de echte website. Daar kunnen vervolgens gegevens gestolen worden; als een argeloze gebruiker op de nepwebsite zijn usernaam en password invult bijvoorbeeld, dan heeft de hacker nu dus zijn inloggegevens te pakken.
Laatste edit 09-02-2012 16:11
09-02-2012 17:17:46
ik vind dat hij het goed heeft gedaan ik bedoel ze had het ook niet kunnen melden en gewoon ervan kunnen genieten maar zij was zo verstandig het te melden ze verdient dat geld wel hoor misschien zelfs nog wel meer...
09-02-2012 18:07:30
zuur voor dat bedrijf, ze denken allemaal dat ze zo goed zijn maar ondertussen kan een tiener lekken in de beveiliging vinden
09-02-2012 18:16:09
Goh, die jongen breekt in en hij wordt er nog voor beloont ook.
09-02-2012 20:25:33
Oudgediende
Quote @Madarian:
Een ethical hacker. Je hoort weinig over zulke personen. Goed gedaan!
Een ethical hacker. Je hoort weinig over zulke personen. Goed gedaan!
Jeps vond ik ook
te weinig over ethical hackers dus dacht dit is wel een mooi verhaal erover @Deus: inderdaad maar helaas is cracker een stille dood gestorven in plaats daarvan noemt men het allemaal hackers... dus noemen mensen deze mensen ethical hackers.Laatste edit 09-02-2012 20:28
Laatste edit 09-02-2012 20:28
09-02-2012 21:37:23
Fijn dat zulke sites zo goed beveiligd zijn...
10-02-2012 13:48:05
Laatste edit 10-02-2012 13:49
10-02-2012 15:49:14
als een jongen van 15 dat kan, wat kan een expert die kwaad in de zin heeft op die sites 
Om hier te kunnen reageren moet je lid zijn.
Meld je nu aan.Login via:
WMRphp ver. 7.1 secs - Smalle versie - terug naar boven