Kim Bjørn Tiedemann

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til Aften 2 - Hack 2: Cross site scripting på en portal

Re: Sigtet

Hej Janus, Nej jeg har ikke bedt om lov. Jeg har heller ikke udnyttet hullerne, kun notificeret ejerne af de pågældende sites og efterfølgende her på bloggen. Der er nok også en forskel i forhold til SQL injection, hvor du jo eksekverer kode direkte på "serveren" i forhold til XSS og...
Kommentar til Aften 2 - Hack 2: Cross site scripting på en portal

Re

@Hans: Det site der lækker auth cookien og dermed tillader MitM angreb har endnu ikke rettet fejlen og derfor vil det være upassende for mig, at fortælle hvem de er og hvad man kan gøre. Men det er en offentlig løsning med selvbetjening, der gør Eve i stand til at gøre ting på vegne af brugeren. ...
Kommentar til Aften 2 - Hack 2: Cross site scripting på en portal

Re: Normalt i Danmark

@Hans: Jeg forstår ikke helt hvor du vil hen med din første sætning. I følge OWASP så er top 10: The OWASP Top Ten represents a broad consensus about what the most critical web application security flaws are. Du skriver meget om PHP - heldigvis så er der meget få offentlige løsninger, der baser...
Kommentar til Aften 2 - Hack 2: Cross site scripting på en portal

Re: Normalt i Danmark

Ja de er rimeligt almindelige i Danmark (desværre), men de ligger også nummer 2 og 3 på OWASP top 10 2013 og dermed et udtryk for, at OWASP ser dem som top 3 i forhold til kritikalitet. Reflected XSS på en offentlig portal med selvbetjeningsløsninger er kritisk, da vi ved at "almindelige...
Kommentar til Hvordan jeg på to aftener “hackede” to store offentlige sites

Re: Misforstået sikkerhed

Eftersom IE ikke understøtter Http Strict Transport Security header, så tror jeg ikke de har denne liste. Men Chrome accepterer nye sites på deres liste og Firefox benytter en delmængde af Chromes liste: http://blog.nvisium.com/2014/04/is-your-site-hsts-enabled.html
Kommentar til Hvordan jeg på to aftener “hackede” to store offentlige sites

Re: Misforstået sikkerhed

Det er rigtigt - den allerførste gang du besøger sitet inden sitet har sat Http Strict Transport Security headeren, har du en mulighed for at redigere brugerens request over på dit eget site. Men i det request er der altså ingen auth cookie med og derfor er man på en ren phishing expedition, hvo...
Kommentar til Hvordan jeg på to aftener “hackede” to store offentlige sites

Re: Misforstået sikkerhed

SSL er i den grad ikke meningsløst, men man skal være varsom hvis man kører mixed mode med både http og https. Derfor er mit råd også at lade være med det. Hvis dit site ikke svarer på http, så har sslstrip ingen effekt andet end at producere links, som serveren ikke svarer på. Fx svarer gmail i...
Kommentar til Hvordan jeg på to aftener “hackede” to store offentlige sites

Re: Større offenligt site

Nej, jeg deltager ikke i høringen. jeg tror det bliver svært at rumme både brugervenlighed for Hr. og Fru Hansen samtidigt med at vi får den bedste sikkerhedsmæssige løsning. Det er altid et kompromis mellem bekvemmelighed og sikkerhed, og jeg er bange for at bekvemmeligheden bliver vægtet højest...