Author Archives: Sijmen Ruwhof

About Sijmen Ruwhof

Independent IT Security Researcher / Ethical Hacker

Lukt het om in te breken in de website van Massa Media?

Posted on 15-07-2015 by Sijmen Ruwhof

Die vraag stelde een TV-ploeg van RTV Utrecht mij:

Posted in hacking, website, website security | Comments Off

Security risk analysis of address bar spoofing bug in Chrome and Opera

Posted on 05-07-2015 by Sijmen Ruwhof

On June 30, 2015 security researcher David Leo publicly disclosed a vulnerability in Google Chrome on the full disclosure mailing list. Via this vulnerability it is possible to spoof the location of the address bar in the latest version of … Continue reading →

Posted in browser security, bug, phishing | Comments Off

De wereld van hacking

Posted on 19-03-2015 by Sijmen Ruwhof

Gisteren heb ik onderstaande presentatie gehouden op het Privacy & Security symposium van hogeschool Windesheim:

Posted in hacking, presentation | Comments Off

Mitigations against critical universal cross-site scripting vulnerability in fully patched Internet Explorer 10 and 11

Posted on 08-02-2015 by Sijmen Ruwhof

This week David Leo disclosed a critical universal cross-site scripting vulnerability in fully patched Microsoft Internet Explorer 10 and 11 (from now on called the UXSS leak). He notified Microsoft on October 13 last year, but Microsoft didn’t publish a … Continue reading →

Posted in browser security, cross-site scripting, security vulnerability, website security | 1 Comment

Cross-site scripting in millions of web sites

Posted on 18-11-2014 by Sijmen Ruwhof

In August 2014 I found a severe cross-site scripting security vulnerability in the latest version (1.13.0) of the ‘jQuery Validation Plugin‘ during a security penetration test for a customer. This jQuery plugin which adds easy form validation functionality to a web site, is … Continue reading →

Posted in cross-site scripting, Google, php, responsible disclosure | 62 Comments

2.364 Nederlandse bedrijfswebsites met ernstige beveiligingslekken

Posted on 08-11-2014 by Sijmen Ruwhof

Toen ik in oktober 2012 op internet op zoek was naar een nieuwe auto, kwam ik een autobedrijf tegen waar ik een auto wou gaan kopen: (bovenstaande website is van een willekeurig bedrijf uit de lijst die ik later beschrijf) … Continue reading →

Posted in responsible disclosure, search engine optimization, security vulnerability, website security | 15 Comments

Password hash disclosure in Linksys Smart WiFi routers

Posted on 01-11-2014 by Sijmen Ruwhof

This is my tale about reporting a specific security vulnerability in a major product, just to give some insight in how responsible disclosures are handled by a security researcher (me) and various software companies (Cisco, Linksys and Belkin). On May … Continue reading →

Posted in password, responsible disclosure | 5 Comments

Wat te doen tegen hard coded databasewachtwoorden in configuratiebestanden?

Posted on 29-09-2014 by Sijmen Ruwhof

Kreeg vandaag de volgende vraag binnen waarvan mijn antwoord ook voor anderen nuttig kan zijn: Is er een beveiligingsoplossing tegen hard coded databasewachtwoorden, zoals bijvoorbeeld het geval is bij websites die in de programmeercode het MySQL-wachtwoord in een configuratiebestand hebben opgeslagen? … Continue reading →

Posted in password, security, website | Comments Off

Security audits as an integral part of PHP application development

Posted on 07-07-2012 by Sijmen Ruwhof

More often than not, web applications start off as a bright idea, which is then brought into realization at a fast and furious pace, with little eye for anything but result. Once all envisioned functionality is incorporated in the design … Continue reading →

Posted in php security, presentation, security audit, website | Comments Off

NU.nl gehackt: Malware-analyse

Posted on 14-03-2012 by Sijmen Ruwhof

NU.nl is gehackt, zo schrijft hun weblog vandaag, waarbij mogelijk 100.000 computers zijn besmet met kwaadaardige code. Ik was benieuwd naar wat voor kwaadaardige code werd geïnjecteerd en heb deze dan ook geanalyseerd. Laat je testen of je geïnfecteerd bent Naar … Continue reading →

Posted in analysis, drive-by, security vulnerability, website | 66 Comments

Presentation: Next in security

Posted on 11-05-2011 by Sijmen Ruwhof

Slides from a presentation that I gave about the developments in the hacking world:

Posted in presentation, security | Comments Off

Presentatie op PFCongres: Website vulnerability management

Posted on 17-04-2010 by Sijmen Ruwhof

Op 17 april heb ik op het PFCongres een presentatie geven over geautomatiseerd website vulnerability management. Websitebeveiliging is een onderwerp waaraan eigenlijk pas sinds 2003 echt aandacht aan wordt besteed. In tegenstelling tot wat de meeste klanten verwachten, zijn bijna … Continue reading →

Posted in presentation, security audit, vulnerability management, website | Comments Off

Web Programmer’s Hacking Guide

Posted on 15-07-2004 by Sijmen Ruwhof

Ongeveer 80% van de websites op het internet hebben beveiligingslekken. Men denkt over het algemeen dat de software die men schrijft, veilig is. Ik durf het tegengestelde te beweren. Waarom? Omdat programmeurs niet geleerd wordt om veilig te programmeren. Een opmerkelijke … Continue reading →

Posted in article, cross-site scripting, php security, security audit, website | Comments Off