Harald Brombach (digi.no) Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 17-åringer har funnet alvorlige feil i en rekke norske nettbutikker Lenke til kommentar
LMH1 Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Dette blir jo nesten hacking eller craching av nettsiden. Så vet ikke om slikt burde belønnes, men greit å være klar over dette. Men siden orderen ville aldri gått gjennom tviler jeg på dette er noe stor sak. Lenke til kommentar
Gjest Slettet-OvFPdyiZ Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Det er bra desse karane held til i Trøndelag. Om dei budde i Hordaland, Sogn og Fjordane eller Vanylven kunne dei fort mista alt PC-utstyret sitt... Lenke til kommentar
[email protected] Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Han dansken ble omtalt som "ovnitolog" - hva i alle dager er det? Lenke til kommentar
Harald Brombach (digi.no) Skrevet 9. oktober 2019 Forfatter Del Skrevet 9. oktober 2019 Han dansken ble omtalt som "ovnitolog" - hva i alle dager er det? Det er nok en tøysetittel for en som er ekspert på ovner. :-) Lenke til kommentar
MrAHB Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Han dansken ble omtalt som "ovnitolog" - hva i alle dager er det? Ekspert på ovner og vedfyring ;-P Kanskje det er autokorrektur'en som har slått seg vrang. I følge LinkedIn har han studert informasjonsvitenskap. Lenke til kommentar
FB.049299160 Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 "Stol aldri på frontend" eller data som kommer derifra. Det forundrer meg litt at det lages nettbutikksystemer som i det hele tatt bruker prisinformasjon generert av frontend. Det eneste som backend bør behandle fra frontend, er hvilke varer og antall (og evt. kundedata, men dette ligger som regel lagret med henvisning fra cookie). Varenummer og antall må deretter valideres (henholdsvis om varene finnes, og antall er positivt og evt. innenfor rimelighetens grenser), og hva som skal betales regnes ut i backend. Det som kunden ser av totalsum i frontend må kunne være ment som informasjon, og det som evt. sendes til frontend i form av annen betalingsinformasjon er kun en unik referanse (token, ikke løpenummer) til informasjon mellomlagret i backend... 5 Lenke til kommentar
Sandormen Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Må bare unngå å hjelpe Bergen kommune, er ikke det moralen i historien? ? 1 Lenke til kommentar
[email protected] Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Det er nok en tøysetittel for en som er ekspert på ovner. :-) aha! Liker tøysetitler! Lenke til kommentar
MsSupporter Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 "Stol aldri på frontend" eller data som kommer derifra. Det forundrer meg litt at det lages nettbutikksystemer som i det hele tatt bruker prisinformasjon generert av frontend. Det eneste som backend bør behandle fra frontend, er hvilke varer og antall (og evt. kundedata, men dette ligger som regel lagret med henvisning fra cookie). Varenummer og antall må deretter valideres (henholdsvis om varene finnes, og antall er positivt og evt. innenfor rimelighetens grenser), og hva som skal betales regnes ut i backend. Det som kunden ser av totalsum i frontend må kunne være ment som informasjon, og det som evt. sendes til frontend i form av annen betalingsinformasjon er kun en unik referanse (token, ikke løpenummer) til informasjon mellomlagret i backend... Det er ikke alle som programmerer som vet forskjell på frontend og backend vet du. Lenke til kommentar
Gjest Slettet-t8fn5F Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Pen-testing uten eiers samtykke er uten tvil ulovlig her i landet. Lenke til kommentar
ShpongleSpingle Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Det er ikke alle som programmerer som vet forskjell på frontend og backend vet du. I såfall burde de veldig sterkt vurdere å finne seg noe annet å holde på med. Lenke til kommentar
Sandormen Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Pen-testing uten eiers samtykke er uten tvil ulovlig her i landet. Riktig, men om noen gjør det mot meg, finner hull og forteller meg det, ville jeg heller sette pris på den enn å føle meg krenket og såra. At det ligger i den litt mer shady del av det etiske og moralske spekteret er riktig nok, men det er nok av shady ting på internett til at man ikke bør overreagere på noen som bruker den grå-hvite hatten, og ikke den vantasorte hatten. ? Lenke til kommentar
runekm Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Jeg oppfordrer dere til å prøve å hacke https://www.enil.no. Tror det kunne vært en morsom oppgave. Det vanker stor takk og gavekort dersom dere finner sikkerhetshull - noe som jeg selvfølgelig håper dere ikke gjør :-) 1 Lenke til kommentar
DirekteDemokrati Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 (endret) Dette blir jo nesten hacking eller craching av nettsiden. Så vet ikke om slikt burde belønnes, men greit å være klar over dette. Men siden orderen ville aldri gått gjennom tviler jeg på dette er noe stor sak. Er slik man finner sikkerhets hull. Mange som har dette som jobb. Enten de ansettes av firma direkte, eller at de har premier når noen opplyser om feil. Når man er i treningsfasen blir det ofte tilfeldige. Men så lenge man opptrer på en ærlig måte som dette er det inget problem. Endret 9. oktober 2019 av DirekteDemokrati 1 Lenke til kommentar
DirekteDemokrati Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 (endret) Jeg oppfordrer dere til å prøve å hacke https://www.enil.no. Tror det kunne vært en morsom oppgave. Det vanker stor takk og gavekort dersom dere finner sikkerhetshull - noe som jeg selvfølgelig håper dere ikke gjør :-) Regner med du ikke tenker på det og legge servern flat? For det bør være lett med mindre du er google eller microsoft Endret 9. oktober 2019 av DirekteDemokrati Lenke til kommentar
runekm Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Regner med du ikke tenker på det og legge servern flat? For det bør være lett med mindre du er google eller microsoft Hvis det er DoS-angrep du tenker på med å legge serveren flat, så var det ikke helt det jeg tenkte på, nei Lenke til kommentar
DanielChristensen Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Jeg oppfordrer dere til å prøve å hacke https://www.enil.no. Tror det kunne vært en morsom oppgave. Det vanker stor takk og gavekort dersom dere finner sikkerhetshull - noe som jeg selvfølgelig håper dere ikke gjør :-) Vi er inne å ser nå men det ser ut som det ikke går ann å bestille vanlig engang? Lenke til kommentar
DanielChristensen Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Vi er inne å ser nå men det ser ut som det ikke går ann å bestille vanlig engang? Jeg kom meg igjennom ved å bruke window.loadPayPal() Bestilte nettop 0.000000000000000000000000000000000001 av en gjenstand fikk også en koselig ordrebekreftelse Dette er jo langt i fra ille men det er noe, Ville nokk ikke kalt dette et "Sikkerhetshull" Mere et "Sikkerhetsnull" mange nettbutikker husker og sjekke - men ikke 0. Lenke til kommentar
runekm Skrevet 9. oktober 2019 Del Skrevet 9. oktober 2019 Veldig bra jobba! :-) Jeg klarer ikke å få sendt deg 0,000000000000000000000000000000000001 flasker med Winforce Isotone, men du skal i alle fall få et lite gavekort :-) Jeg var midt i noen større kodeendringer i butikken, da jeg leste artikkelen i stad. Holder på å fikse butikken sånn at alt skal være 100% live hele tiden. Dvs at snart vil det være sånn at i det øyeblikket vi oppdaterer en pris, kampanje eller sideinnhold backend, vil dette umiddelbart også bli oppdatert hos alle kundene som har de nettsidene oppe, uten at de behøver å foreta reload. Dette er ikke fullstendig ferdig, men blir lansert snart. Men uansett da jeg leste artikkelen, ble jeg klar over at det kanskje ville være mulig å kjøpe negative antall av varer ved å manipulere dataene. Jeg patchet dette i hui og hast samtidig som jeg kommenterte her, og lanserte så en nye versjon av butikken som inkluderte all den andre koden som har vært endret på den siste tiden (absolutt ikke den måten man skal deploye ting på!) - og så dro jeg ut uten å ha internettdekning. Det medførte at betalingsløsningen var brukket en liten stund der. Den er oppe igjen nå. Ser at du har funnet ut av nettbutikken vår også har implementert dark mode. Dersom du leter bittelitt, vil du også kunne finne en god del "easter eggs". Et tips er konamikoden, men det er flere :-) Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå