/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
sikkerheden på denne side vurdering
Fra : Bjarne Østergård


Dato : 10-10-03 18:54

Hej kunne godt tænænke mig at få vurderet sikkerheden på denne side her.
http://web01.gigasoft.dk/installer/Webdownloader.HTM
Kan kun køres af folk med en windows version 2000 eller nyere

Lidt praktiske oplysninger
Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
den
dem som kører den kan logge sig ind på servicessiderne og se deres
registrering
Og nej det er ingen reklame det er gratis
Til alle andre der gerne vil se hvad det er systemet kan er der en adresse
her

PS lad være med at ændre noget blort fordi i får adgang , for så kan alle
andre jo ikke komme til at se siderne.
Men prøv denne her side og se hvad det er systemet egentligt kan
De sider her er blog vores egne servicessider
Linket til siden er incl password og brugernavn:
http://www.gigasoft.dk/PCFinder/default.asp?PageID=50&Br=10&Ad=10
Klik på menuerne og se selv hvad et er vi snakker om

Og lad nu være med at ændre noget derinde med password og osv bare fordi i
kan.
Hvis i gør det er der jo ikke andre der kan se siderne

Mvh
Bjarne



 
 
Sune (10-10-2003)
Kommentar
Fra : Sune


Dato : 10-10-03 19:35

On Fri, 10 Oct 2003 19:54:25 +0200, "Bjarne Østergård" <boe@gigasoft.dk> wrote:

>Lidt praktiske oplysninger
>Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
>den

Kan man ikke certificere en virus ActiveX?

Mvh
Sune

Bjarne Østergård (10-10-2003)
Kommentar
Fra : Bjarne Østergård


Dato : 10-10-03 19:48


"Sune" <apr2003@tdcadsl.dk> skrev i en meddelelse
news:grudov8g32e01da6fpcjslkvpof8j4m4b2@4ax.com...
> On Fri, 10 Oct 2003 19:54:25 +0200, "Bjarne Østergård" <boe@gigasoft.dk>
wrote:
>
> >Lidt praktiske oplysninger
> >Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> >den
>
> Kan man ikke certificere en virus ActiveX?
Ikke annonymt
Så hvis vores ActiveX skulle indeholde noget negativt vil du altid via
certifikatet kunne se hvem der har lavet det.
Det er vel det der er ideen bag certificeringen
Mvh.
Bjarne



Thomas Alexander Fre~ (10-10-2003)
Kommentar
Fra : Thomas Alexander Fre~


Dato : 10-10-03 21:07

Bjarne Østergård wrote:

<snip>
>> >Lidt praktiske oplysninger
>> >Det er en ActiveX, den er certificeret så der er ingen risiko
>> >ved at køre den
>>
>> Kan man ikke certificere en virus ActiveX?
> Ikke annonymt
> Så hvis vores ActiveX skulle indeholde noget negativt vil du
> altid via certifikatet kunne se hvem der har lavet det.
> Det er vel det der er ideen bag certificeringen

Kan man så ikke bare lave et falsk certifikat?

--
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
http://linuxforum.dk - 5. og 6. marts 2004.

Bjarne Østergård (10-10-2003)
Kommentar
Fra : Bjarne Østergård


Dato : 10-10-03 21:16


"Thomas Alexander Frederiksen" <usenet@arkolog.dk> skrev i en meddelelse
news:6662981.I7RzSJglF3@hegel.arkolog.dk...
> Bjarne Østergård wrote:
>
> <snip>
> >> >Lidt praktiske oplysninger
> >> >Det er en ActiveX, den er certificeret så der er ingen risiko
> >> >ved at køre den
> >>
> >> Kan man ikke certificere en virus ActiveX?
> > Ikke annonymt
> > Så hvis vores ActiveX skulle indeholde noget negativt vil du
> > altid via certifikatet kunne se hvem der har lavet det.
> > Det er vel det der er ideen bag certificeringen
>
> Kan man så ikke bare lave et falsk certifikat?

Nej det kan man ikke

Mvh
Bjarne



Christian E. Lysel (10-10-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 10-10-03 21:42

In article <3f8713a1$0$29332$edfadb0f@dread15.news.tele.dk>, Bjarne Østergård wrote:
>> >> >Det er en ActiveX, den er certificeret så der er ingen risiko
>> >> >ved at køre den
>> >> Kan man ikke certificere en virus ActiveX?
>> > Ikke annonymt

?

Nogle af de certifikat underskrivere jeg har brugt har ikke altid
testet mine kunders oplysninger ordenligt. Dvs. det ville være
nemt at få en underskrevet signatur for fx et tilfældig firma
man ingen relation har til.

I nogle tilfælde var den eneste test et telefon opkald til
ansøgeren.

Det er trivielt i Danmark at route telefon trafik til et
andet nr., så denne test er intet værd.

Herefter blev det underskrevet cerifikat sendt til ansøgerens
email adresse, hvis domain skulle ejes at ansøgte.

Det er også trivielt at købe et domain og udfylde ejeren til
at være en anden.

>> > Så hvis vores ActiveX skulle indeholde noget negativt vil du
>> > altid via certifikatet kunne se hvem der har lavet det.

På det tidspunkt er det for sent.

>> > Det er vel det der er ideen bag certificeringen
>>
>> Kan man så ikke bare lave et falsk certifikat?
>
> Nej det kan man ikke

Bevis det :)

Modbeviset har jeg lige her,
http://www.securityfocus.com/archive/1/286290/2002-07-31/2002-08-06/0

Min browser er af Microsoft pre-konfigureret med 120 forskellige
rod-certifikater...stoler du på dem alle?

Christian Andersen (11-10-2003)
Kommentar
Fra : Christian Andersen


Dato : 11-10-03 12:46

Christian E. Lysel wrote:

> Det er trivielt i Danmark at route telefon trafik til et
> andet nr.

Bevis?

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Christian E. Lysel (11-10-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 11-10-03 14:57

In article <bm8qhn$eft$1@charybdis.vof.dk>, Christian Andersen wrote:
>> Det er trivielt i Danmark at route telefon trafik til et
>> andet nr.
> Bevis?

Læs Asbjørns indlæg.


Christian Andersen (11-10-2003)
Kommentar
Fra : Christian Andersen


Dato : 11-10-03 23:31

Christian E. Lysel wrote:

>>> Det er trivielt i Danmark at route telefon trafik til et
>>> andet nr.
>> Bevis?

> Læs Asbjørns indlæg.

Et enkeltstående tilfælde vil jeg ikke godtage som gældende generelt.

Bevares, det kan da godt være at det virkelig ER så let, men så tror jeg
lige jeg vil have en del andre eksempler før jeg godtager at det er
trivielt let generelt.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Christian E. Lysel (12-10-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 12-10-03 01:57

In article <bma0af$tbr$1@charybdis.vof.dk>, Christian Andersen wrote:
> lige jeg vil have en del andre eksempler før jeg godtager at det er
> trivielt let generelt.

godtager?

Bertel Lund Hansen (12-10-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 12-10-03 08:41

Christian E. Lysel skrev:

>godtager?

Det betyder "accepterer". Vi har også udtrykket "at tage noget
for gode varer".

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Christian E. Lysel (12-10-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 12-10-03 09:42

In article <la1iov8j87gttgf9v8mm1dkai1pfh54otu@news.stofanet.dk>, Bertel Lund Hansen wrote:
>>godtager?
>
> Det betyder "accepterer". Vi har også udtrykket "at tage noget
> for gode varer".

Undrede mig over formuleringen, da det er en standard service,
og de har en afdelingen der håndtere denne ydelse.


Endvidere kan det også slåes til hvis man har adgang til "offret"s kobber,
http://erhverv.tdc.dk/artikel.php?dogtag=art_4539_294693

Hvis man har adgang til "offret"s post kan det ændres via,
http://erhverv.tdc.dk/artikel.php?dogtag=art_4539_5697


Christian Andersen (12-10-2003)
Kommentar
Fra : Christian Andersen


Dato : 12-10-03 10:24

Christian E. Lysel wrote:

>>>godtager?

>> Det betyder "accepterer". Vi har også udtrykket "at tage noget
>> for gode varer".

> Undrede mig over formuleringen, da det er en standard service,
> og de har en afdelingen der håndtere denne ydelse.

For andre end den den retmæssige ejer, din flueknepper!

> Endvidere kan det også slåes til hvis man har adgang til "offret"s kobber,
> http://erhverv.tdc.dk/artikel.php?dogtag=art_4539_294693

Jeg vil ikke betegne adgang til offerets kobber som trivielt let. Man
skal bevæge sig fysisk ud til "offerets" boks.

> Hvis man har adgang til "offret"s post kan det ændres via,
> http://erhverv.tdc.dk/artikel.php?dogtag=art_4539_5697

Heller ikke trivielt let.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Christian E. Lysel (12-10-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 12-10-03 14:45

In article <bmb6ka$gam$1@charybdis.vof.dk>, Christian Andersen wrote:
> For andre end den den retmæssige ejer, din flueknepper!

Det kan jeg ikke godtage :)

> Jeg vil ikke betegne adgang til offerets kobber som trivielt let. Man

Hvem har sagt det?

Jeg siger det er trivielt at route telefon opkaldt fra et punkt
til et andet.

Dette er en gratis service TDC tilbyder, hvilket er godt når man
står med en defekt FAX eller en defekt FAX linie, i en afdeling,
men har en FAX der virker fint i anden afdeling.

Men desværrer kræver det ikke de store "social enginering" evner,
at misbruge denne service.

Om du vil godtage hvad jeg skriver, er op til dig selv, det
vil jeg ikke blande mig i.


Jeg ser blot brugen af certifikater som spild af tid og penge, da
der er for mange cerfitifikat udstedere, som kan lave for
mange fejl.

Nogle af disse fejl er at certifikatets ejer ikke bliver undersøgt
ordenligt...

I nogle tilfælde er det blot en undersøgelse som kan omgåes
ved at viderstille en telefon.
Denne test mener jeg er nem at omgåes.

>> Hvis man har adgang til "offret"s post kan det ændres via,
>> http://erhverv.tdc.dk/artikel.php?dogtag=art_4539_5697
> Heller ikke trivielt let.

Hvem har sagt det?

Dette er blot to andre måder.


Asbjorn Hojmark (11-10-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 11-10-03 14:44

On Fri, 10 Oct 2003 20:42:18 +0000 (UTC), "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

> Det er trivielt i Danmark at route telefon trafik til et
> andet nr., så denne test er intet værd.

Det er bestemt ikke trivielt at gøre det rent teknisk. (Hvis det
var, tror du så ikke ikke-TDC'erne kunne portere et nummer hurti-
gere end det er tilfældet?)

Men det er formentlig ikke særlig svært at få en telemedarbejder
til at sætte en viderestilling på et nummer, fx under påskud af
at man har en defekt central eller noget i den stil. Det er dog
svært at gøre uopdaget.

-A

Christian E. Lysel (11-10-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 11-10-03 15:08

In article <i12govs3tfe1a6ou91nn7dpeovshvsaju1@news.sunsite.dk>, Asbjorn Hojmark wrote:
> Men det er formentlig ikke særlig svært at få en telemedarbejder
> til at sætte en viderestilling på et nummer, fx under påskud af

Det tager 5 min.

> at man har en defekt central eller noget i den stil. Det er dog

Eller en defekt fax. Hvilket var grunden til jeg "opdagede" svagheden.
I et tilligere selskab var vores fax i Sjælland gået død, og vi fik den
viderestillet i løbet af 5 min til Jylland.
Selskabet i Sjælland havde (på det tidspunkt) ingen relationer til firmaet i Jylland.

Vi ringede 80808080, og klagede vores nød, og blev omstillet til viderestillingen.
Her oplyste vi vores ønske om viderstilling fra A til B, hun spurgte derefter om
navn og telefon nr. som jeg ringede fra.

> svært at gøre uopdaget.

uopdaget?

Når man beder om det skal man oplyse:

telefon man ringer fra og sit navn.

Det første kan være en mobil man har "fundet", eller
en linie man låner fra en tilfældig abonnent (der er
ingen sikkerhed hos almindelige abonnenter), det
næste kan slåes op på degulesider.

Nummeret der viderstilles til er dog sværer. Man kan igen
være en abonnent på ferie man "låner" linien fra.

Hvad i telenettet ville kunne pege på mig?

Bertel Lund Hansen (11-10-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 11-10-03 15:15

Christian E. Lysel skrev:

>Vi ringede 80808080, og klagede vores nød, og blev omstillet til viderestillingen.
>Her oplyste vi vores ønske om viderstilling fra A til B, hun spurgte derefter om
>navn og telefon nr. som jeg ringede fra.

Mon ikke hun kunne se på sin skærm at telefonnummeret hørte
sammen med faxnummeret?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Christian E. Lysel (11-10-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 11-10-03 15:22

In article <814govs6j3ai42q0vkhdla84qrgi693idc@news.stofanet.dk>, Bertel Lund Hansen wrote:
>>Vi ringede 80808080, og klagede vores nød, og blev omstillet til viderestillingen.
>>Her oplyste vi vores ønske om viderstilling fra A til B, hun spurgte derefter om
>>navn og telefon nr. som jeg ringede fra.
>
> Mon ikke hun kunne se på sin skærm at telefonnummeret hørte
> sammen med faxnummeret?

Jeg ringede ikke fra fax nummeret, men fra en tilfældig sonofon mobil

Asbjorn Hojmark (11-10-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 11-10-03 16:08

On Sat, 11 Oct 2003 14:08:01 +0000 (UTC), "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>> svært at gøre uopdaget.

> uopdaget?

Viderestillingen vil blive opdaget. Jeg forholdt mig ikke til, om
det var nemt eller svært at afsløre, hvem der har fået lavet den.

-A

Christian E. Lysel (12-10-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 12-10-03 01:55

In article <r37gov42d23pkps7m7b7ddjdt5r1bm67t0@news.sunsite.dk>, Asbjorn Hojmark wrote:
>> uopdaget?
>
> Viderestillingen vil blive opdaget. Jeg forholdt mig ikke til, om
> det var nemt eller svært at afsløre, hvem der har fået lavet den.

Er man rigtig snu, etablere man et nyt opkald (evt. til et sekundært nr.
til "offret") når man modtager et opkald...herved kan man lytte med på
linien.

Men det begynder at kræve en del af "offrets" konfiguration.

Ovenstående kan fx også gentages med analoge modem forbindelser, hvis
"offret" har en dial-in pool med flere nummere.

Asbjorn Hojmark (12-10-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 12-10-03 08:43

On Sun, 12 Oct 2003 00:55:21 +0000 (UTC), "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

> Er man rigtig snu, etablere man et nyt opkald (evt. til et sekundært nr.
> til "offret") når man modtager et opkald...herved kan man lytte med på
> linien.

Ja, men det kan hos modtageren (offeret) ses ved, at man mister
A-nummeridentifikation.

-A
--
http://www.hojmark.org/

Martin Schultz (11-10-2003)
Kommentar
Fra : Martin Schultz


Dato : 11-10-03 14:53

"Bjarne Østergård" <boe@gigasoft.dk> writes:

> "Thomas Alexander Frederiksen" <usenet@arkolog.dk> skrev i en meddelelse
> news:6662981.I7RzSJglF3@hegel.arkolog.dk...
> > Bjarne Østergård wrote:
> >
> > <snip>
> > >> >Lidt praktiske oplysninger
> > >> >Det er en ActiveX, den er certificeret så der er ingen risiko
> > >> >ved at køre den
> > >>
> > >> Kan man ikke certificere en virus ActiveX?
> > > Ikke annonymt
> > > Så hvis vores ActiveX skulle indeholde noget negativt vil du
> > > altid via certifikatet kunne se hvem der har lavet det.
> > > Det er vel det der er ideen bag certificeringen
> >
> > Kan man så ikke bare lave et falsk certifikat?
>
> Nej det kan man ikke

Forlert. Der var tidligere i år nogle der fik lavet et certifikat som
microsoft til sig selv.

Martin

Jonathan Stein (10-10-2003)
Kommentar
Fra : Jonathan Stein


Dato : 10-10-03 20:05

"Bjarne Østergård" wrote:

> Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> den

Endnu en gave til dem, der samler på BØ-citater.

> Og nej det er ingen reklame det er gratis

- og så to i samme indlæg!

M.v.h.

Jonathan

--
Er din e-mail vigtig? Er du træt af virus og spam i mailen?
Virus-scanning og spam-filtrering på alle mail-konti. På redundant
mail-setup med daglig backup.
http://www.jsp-hotel.dk/



Kasper Dupont (10-10-2003)
Kommentar
Fra : Kasper Dupont


Dato : 10-10-03 22:27

Jonathan Stein wrote:
>
> "Bjarne Østergård" wrote:
>
> > Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> > den
>
> Endnu en gave til dem, der samler på BØ-citater.

Endnu et til samlingen, jeg snart skal have
sat pænt op et sted på den her side:

http://www.daimi.au.dk/~kasperd/pcfinder/

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Jan (10-10-2003)
Kommentar
Fra : Jan


Dato : 10-10-03 20:19

"Bjarne Østergård" <boe@gigasoft.dk> skrev i en meddelelse
news:3f86f255$0$29317$edfadb0f@dread15.news.tele.dk...
> Hej kunne godt tænænke mig at få vurderet sikkerheden på denne side her.
> http://web01.gigasoft.dk/installer/Webdownloader.HTM
> Kan kun køres af folk med en windows version 2000 eller nyere
>
> Lidt praktiske oplysninger
> Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> den
> dem som kører den kan logge sig ind på servicessiderne og se deres
> registrering
> Og nej det er ingen reklame det er gratis
> Til alle andre der gerne vil se hvad det er systemet kan er der en adresse
> her
>
> PS lad være med at ændre noget blort fordi i får adgang , for så kan alle
> andre jo ikke komme til at se siderne.
> Men prøv denne her side og se hvad det er systemet egentligt kan
> De sider her er blog vores egne servicessider
> Linket til siden er incl password og brugernavn:
> http://www.gigasoft.dk/PCFinder/default.asp?PageID=50&Br=10&Ad=10
> Klik på menuerne og se selv hvad et er vi snakker om
>
> Og lad nu være med at ændre noget derinde med password og osv bare fordi i
> kan.
> Hvis i gør det er der jo ikke andre der kan se siderne
>
> Mvh
> Bjarne
>
Hvad skulle der ske hvis jeg nu ville klikke på dit link?
Hvad er det for en sikkerhed jeg skulle teste?
Er det min sikkerhed eller din/dit firmas sikkerhed der
skal testes ?

Mvh
Jan



Alex Holst (10-10-2003)
Kommentar
Fra : Alex Holst


Dato : 10-10-03 20:26

"Bjarne Østergård" <boe@gigasoft.dk> wrote:
> Det er en ActiveX, den er certificeret så der er ingen risiko ved at
> køre den

Hvorfor mener du det?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Peter Mogensen (10-10-2003)
Kommentar
Fra : Peter Mogensen


Dato : 10-10-03 21:40

Alex Holst wrote:
> "Bjarne Østergård" <boe@gigasoft.dk> wrote:
>
>>Det er en ActiveX, den er certificeret så der er ingen risiko ved at
>>køre den
>
>
> Hvorfor mener du det?

Tjae..

Iøvrigt vil jeg mene at ActiveX's sikkerhedsmodel er grundliggende
forfejlet. Det blev jo slået om som noget man skulle lave alskens smarte
små knapper i til web-sider.
Problemet er bare at sikkerheden baseres på at brugerne siger ja og nej
til hvem de stoler på. Jo mere udbredt ActiveX bliver jo flere af den
slags ting skal brugerne tage stilling til.
Til sidst ender der ligesom cookies - folk slår checkene fra og tillader
alt fordi det simplethen er for uoverskueligt andet.

Peter



Alex Holst (10-10-2003)
Kommentar
Fra : Alex Holst


Dato : 10-10-03 21:47

Peter Mogensen <apm-at-mutex-dot-dk@nospam.no> wrote:
> Alex Holst wrote:
>> "Bjarne Østergård" <boe@gigasoft.dk> wrote:
>>
>>>Det er en ActiveX, den er certificeret så der er ingen risiko ved at
>>>køre den
>>
>> Hvorfor mener du det?
>
> Tjae..
>
> Iøvrigt vil jeg mene at ActiveX's sikkerhedsmodel er grundliggende
> forfejlet.

Hmpf. Nu skulle jeg lige lokke Bjarne laengere ud hvor han slet ikke kan
bunde og nu oedelaegger du det. Kvajechokoladeplade! (Jeg har selv
rigeligt med oel.)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Sonny T. Larsen (10-10-2003)
Kommentar
Fra : Sonny T. Larsen


Dato : 10-10-03 21:53

On Fri, 10 Oct 2003 22:46:47 +0200, Alex Holst wrote:

> Hmpf. Nu skulle jeg lige lokke Bjarne laengere ud hvor han slet ikke kan
> bunde og nu oedelaegger du det. Kvajechokoladeplade! (Jeg har selv
> rigeligt med oel.)

Bjarnes udgydelser er efterhånden end ikke en lille plade mørk chokolade værd,
han vil som sædvanligt blot have en (gratis) sikkerhedsvurdering og en del,
også gratis, omtale/reklame.

Medieluder og/eller narrehat er mit bud.

--
/Sonny - #include <std.disclaimer.h>

"I don't have an attitude problem, you have a perception problem."

Kasper Dupont (11-10-2003)
Kommentar
Fra : Kasper Dupont


Dato : 11-10-03 12:57

"Bjarne Østergård" wrote:
>
> Linket til siden er incl password og brugernavn:
> http://www.gigasoft.dk/PCFinder/default.asp?PageID=50&Br=10&Ad=10
> Klik på menuerne og se selv hvad et er vi snakker om

Det mest interessante jeg ser på den side er IP adressen på
en maskine, hvor ejeren tilsyneladende har glemt at slå IIS
fra. Desuden spekulerer jeg på, om der bliver lavet korrekt
validering af input i URLen.

Og forresten glem pcfinder:
http://www.daimi.au.dk/~kasperd/pcfinder/

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Kasper Dupont (12-10-2003)
Kommentar
Fra : Kasper Dupont


Dato : 12-10-03 17:05

Kasper Dupont wrote:
>
> Det mest interessante jeg ser på den side er IP adressen på
> en maskine, hvor ejeren tilsyneladende har glemt at slå IIS
> fra.

Jeg har sidenhen opdaget noget meget mere interessant. Den
pågældende IP adresse står i min logfil tilbage fra april!

Der fandtes dengang et mirror af:
http://www.daimi.au.dk/~kasperd/pcfinder/

Det pågældende mirror har jeg godt nok aldrig nævnt her i
gruppen, den eneste, der har fået URLen af mig er Bo
Balschmidt.

Betyder det, at det første Bo gjorde efter at have kigget
på den URL, han modtog fra mig, var at sende den videre
til Bjarne?

Og forresten har Bjarne været inde og kigge på F&Ps email
adresser to gange i går: http://tinyurl.com/bqcx

I mellemtiden er der dukket en IP adresse mere op på den
nævnte side, nu står der både 80.62.111.30 og
80.161.56.156. Hvem der ejer sidstnævnte adresse har jeg
ingen anelse om.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Thor Larholm (12-10-2003)
Kommentar
Fra : Thor Larholm


Dato : 12-10-03 03:01

"Bjarne Østergård" <boe@gigasoft.dk> wrote in message
news:3f86f255$0$29317$edfadb0f@dread15.news.tele.dk...
> Hej kunne godt tænænke mig at få vurderet sikkerheden på denne side her.
> http://web01.gigasoft.dk/installer/Webdownloader.HTM

Der er masser af sikkerhedsfirmaer der gerne vil teste dine produkter og
webservere for sikkerhedproblemer, for en pris. Hvad med at kontakte en af
disse, istedet for konstant at bede om gratis sikkerhedsvurderinger og
konceptanalyser her i gruppen?

Der er en grund til at dybdegående og seriøse sikkerhedsanalyser koster penge,
de tager tid og dedikation.

> Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> den

Her er vi uenige.

> Og nej det er ingen reklame det er gratis

Her er vi også uenige.

> Mvh
> Bjarne

--
Regards
Thor Larholm
PivX Solutions, LLC - Senior Security Researcher
Linux vs. Windows Viruses: http://www.securityfocus.com/guest/23028



Povl H. Pedersen (12-10-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 12-10-03 10:25

On 2003-10-10,
Bjarne Østergård <boe@gigasoft.dk> wrote:
> Hej kunne godt tænænke mig at få vurderet sikkerheden på denne side her.
> http://web01.gigasoft.dk/installer/Webdownloader.HTM
> Kan kun køres af folk med en windows version 2000 eller nyere

Siden er simpel, men det er ikke problemet.

Din webserver er fejlkonfigureret, og sender oplysninger
om intern infrastruktur ud på nettet:

Content-Location: http://192.168.1.100/iisstart.htm

Deruover bruger du ny og uprovet teknologi:
Server: Microsoft-IIS/6.0
MicrosoftOfficeWebServer: 5.0_Pub
X-Powered-By: ASP.NET

Og en simpel test med nmap viser at du er komplet clueless når det
kommer til at sætte servere på Internet.

Jeg kan kun anbefale at du hyrer en konsulent 1 dags tid, samt 1-2
dage til at undervise dig.

Jeg onsker ikke at bruge mere tid på at komme ind, men maskinen er
helt blotlagt og åben for onde hackere som jeg kan se det.

> Lidt praktiske oplysninger
> Det er en ActiveX, den er certificeret så der er ingen risiko ved at køre
> den
> dem som kører den kan logge sig ind på servicessiderne og se deres
> registrering
> Og nej det er ingen reklame det er gratis
> Til alle andre der gerne vil se hvad det er systemet kan er der en adresse
> her

Det eneste en signatur på en ActiveX kontrol siger er, at du har
hast $150 til et certifikat.

> PS lad være med at ændre noget blort fordi i får adgang , for så kan alle
> andre jo ikke komme til at se siderne.
> Men prøv denne her side og se hvad det er systemet egentligt kan
> De sider her er blog vores egne servicessider
> Linket til siden er incl password og brugernavn:
> http://www.gigasoft.dk/PCFinder/default.asp?PageID=50&Br=10&Ad=10
> Klik på menuerne og se selv hvad et er vi snakker om
>
> Og lad nu være med at ændre noget derinde med password og osv bare fordi i
> kan.
> Hvis i gør det er der jo ikke andre der kan se siderne

Så megen glæde skal du ikke have af os her. Vil du have lavet en
penetration test, så må du betale.

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste