Firma 3: (Har ikke rettet hullet ej heller som de skriver udskiftet koderne)
 


Svar: 15-11-2002
Hej Søren,

Tak for informationen. Dog er "sikkerhedshullet" ikke så stort. Det er et
"gammelt" site som nedlægges om ca. en uge med friske koder. Tilmed bruger
vi aldrig 'sa' kontoen til websites. Faktisk er jeg den eneste som bruger
'sa' kontoen. Der tilknyttes SQLlogins til hvert website med så begrænsede
adgange at man knap nok kan logge på. :-)
Betyder sammentidigt at Extendet sto. m.m. ikke kan executes gennem
websitet.

Men tak fordi du afsatte tid og opmærksomhed på at informere os om "buggen"
:-)

Med venlig hilsen
 


Mit svar: 15-11-2002
Hej Firma 3,

Det er godt at høre.

Jeg kom lige til at kigge på URLen igen. Da i skifter koden ud snart er det
måske ikke så relevant, men i har også et problem med cross site scripting
(XXS).

Følgende URL 'injicerer' script ind på siden.

[URL]

Herved kan en ond ond personlighed læse de cookier der bliver sat under
firma3.dk domænet.

Endvidere skal jeg lige nævne følgende:

Det skal til alt dette nævnes at 14 andre firmaer d. 13-11-2002, ligesom jer
modtog en lignende mail fra mig.
Der blev i disse mails lagt vægt på en offentliggørelse af sikkerhedshullet
for at 'motivere' firmaerne til faktisk at vende tilbage til mig (Ved andre
urelaterede henvendelser vender næsten ingen firmaer tilbage, derfor det
lille ekstra 'tryk').

Såfremt det er interessant vil der allerhøjst komme en kommentar ud af
dette, om hvorledes danske webbureauer behandler anmeldelse af
sikkerhedshuller - ingen firmaer eller websteder vil i sådanne en kommentar
blive nævnt ved navn eller anden erhversbetegnelse. (Jeg har ikke energi,
tid eller lyst til at gå gennem 15 retssager..:)

MVH

Søren Christensen

 


Firma svar: 15-11-2002
Hejsa,

Jo, vi er klar over cross site scripting. Er dog ikke det store problem for
os. Nogle firmaer har dog mega problemer med det hvis de ikke validerer data
m.m.

Tilmed sætter vi ikke cookies som har sikkerhedsmæssig værdi. Hverken for
brugeren eller vores systemer.

Med venlig hilsen