Lukt het om in te breken in de website van Massa Media?

Posted on 15-07-2015 by Sijmen Ruwhof

Die vraag stelde een TV-ploeg van RTV Utrecht mij:

Posted in hacking, website, website security | Comments Off on Lukt het om in te breken in de website van Massa Media?

Security risk analysis of address bar spoofing bug in Chrome and Opera

Posted on 05-07-2015 by Sijmen Ruwhof

On June 30, 2015 security researcher David Leo publicly disclosed a vulnerability in Google Chrome on the full disclosure mailing list. Via this vulnerability it is possible to spoof the location of the address bar in the latest version of Chrome.

The team behind Chrome has been notified by the researcher of this issue via responsible disclosure. Google thought it wasn’t a serious issue and thus they haven’t patched it (yet?). Google classified the bug as a denial of service vulnerability. As a result, the security researcher decided to fully disclose all the details of the vulnerability, including a working exploit, in order to gain attention to the problem.

This week this vulnerability was broadly discussed within the security scene and there were a lot of different opinions and no clear threat analysis was made. I hope to add something to that discussion with my analysis. Continue reading

Posted in browser security, bug, phishing | Comments Off on Security risk analysis of address bar spoofing bug in Chrome and Opera

De wereld van hacking

Posted on 19-03-2015 by Sijmen Ruwhof

Gisteren heb ik onderstaande presentatie gehouden op het Privacy & Security symposium van hogeschool Windesheim:

Posted in hacking, presentation | Comments Off on De wereld van hacking

Mitigations against critical universal cross-site scripting vulnerability in fully patched Internet Explorer 10 and 11

Posted on 08-02-2015 by Sijmen Ruwhof

This week David Leo disclosed a critical universal cross-site scripting vulnerability in fully patched Microsoft Internet Explorer 10 and 11 (from now on called the UXSS leak). He notified Microsoft on October 13 last year, but Microsoft didn’t publish a patch for the problem, so he decided to go full public disclosure on the Nmap mailing list.

Every web site you visit with Internet Explorer version 10 and 11 can read the contents of cookies from other domain names that the user has stored in their web browser. An attacker can circumvent the same-origin policy via the UXSS leak. This is a primary and very important security measure in all browsers. It prevents web sites from reading each others data. And as of speaking, this protection is now completely broken in Internet Explorer 10 and 11. Continue reading

Posted in browser security, cross-site scripting, security vulnerability, website security | 1 Comment

Cross-site scripting in millions of web sites

Posted on 18-11-2014 by Sijmen Ruwhof

In August 2014 I found a severe cross-site scripting security vulnerability in the latest version (1.13.0) of the ‘jQuery Validation Plugin‘ during a security penetration test for a customer. This jQuery plugin which adds easy form validation functionality to a web site, is written by a core developer of the highly popular jQuery JavaScript framework.

As of speaking this vulnerability still exists and hasn’t been patched. Continue reading

Posted in cross-site scripting, Google, php, responsible disclosure | 62 Comments

2.364 Nederlandse bedrijfswebsites met ernstige beveiligingslekken

Posted on 08-11-2014 by Sijmen Ruwhof

Toen ik in oktober 2012 op internet op zoek was naar een nieuwe auto, kwam ik een autobedrijf tegen waar ik een auto wou gaan kopen:

1-v2(bovenstaande website is van een willekeurig bedrijf uit de lijst die ik later beschrijf)

Omdat ik het nogal eng vind om bij een via het internet gevonden bedrijf een auto te gaan kopen, heb ik lichtelijk en oppervlakkig naar de website gekeken van de aanbieder. Kijkend naar aanwijzingen die duiden op oplichting of fraude. Je weet maar nooit. Continue reading

Posted in responsible disclosure, search engine optimization, security vulnerability, website security | 15 Comments

Password hash disclosure in Linksys Smart WiFi routers

Posted on 01-11-2014 by Sijmen Ruwhof

This is my tale about reporting a specific security vulnerability in a major product, just to give some insight in how responsible disclosures are handled by a security researcher (me) and various software companies (Cisco, Linksys and Belkin).

On May 17 in 2013 I found a severe password hash disclosure in a Cisco Linksys EA6700 router. At that time this was the top model that Linksys had to offer for consumers. The router is a Linksys Smart WiFi router. Continue reading

Posted in password, responsible disclosure | 5 Comments

Wat te doen tegen hard coded databasewachtwoorden in configuratiebestanden?

Posted on 29-09-2014 by Sijmen Ruwhof

Kreeg vandaag de volgende vraag binnen waarvan mijn antwoord ook voor anderen nuttig kan zijn:

Is er een beveiligingsoplossing tegen hard coded databasewachtwoorden, zoals bijvoorbeeld het geval is bij websites die in de programmeercode het MySQL-wachtwoord in een configuratiebestand hebben opgeslagen? Wanneer dit wachtwoord in verkeerde handen valt, dan heeft een kwaadwillend persoon direct de kroonjuwelen van de database in handen. Kan asymmetrische encryptie of kunnen certificaten eventueel uitkomst bieden?

Dit is een goeie vraag. Helaas is er niet echt een oplossing. Het wachtwoord is namelijk de toegangspoort tot MySQL en dus niet uit te bannen. MySQL is hierin niet uniek als platform. Wachtwoorden zijn als authenticatiemiddel een noodzakelijk kwaad om toegang tot allerlei services te krijgen. Algemeen gesproken is er geen heiligmakende oplossing tegen hard coded wachtwoorden. Wel zijn mitigerende maatregelen te nemen. Continue reading

Posted in password, security, website | Comments Off on Wat te doen tegen hard coded databasewachtwoorden in configuratiebestanden?

Security audits as an integral part of PHP application development

Posted on 07-07-2012 by Sijmen Ruwhof

More often than not, web applications start off as a bright idea, which is then brought into realization at a fast and furious pace, with little eye for anything but result. Once all envisioned functionality is incorporated in the design and the project is launched, developers will be assigned to the next project.

Notwithstanding a few bug fixes, the final – yet essential – step of software development is more often than not, omitted: the security audit. Despite the fact that these checks are regarded as tedious and superfluous, practice shows that it is time well spent: numerous, often severe vulnerabilities come to light.

In the presentation below that I gave at the PHP UK Conference in London, I’ll detail how to incorporate security checks into the software development process. I’ll also step through the implementation, and caveats of a security audit.

The slides that I used:

6959109687_76954c0070_b

Posted in php security, presentation, security audit, website | Comments Off on Security audits as an integral part of PHP application development

NU.nl gehackt: Malware-analyse

Posted on 14-03-2012 by Sijmen Ruwhof

NU.nl is gehackt, zo schrijft hun weblog vandaag, waarbij mogelijk 100.000 computers zijn besmet met kwaadaardige code. Ik was benieuwd naar wat voor kwaadaardige code werd geïnjecteerd en heb deze dan ook geanalyseerd.

Laat je testen of je geïnfecteerd bent
Naar aanleiding van mijn onderzoek naar de NU.nl malware, heb ik heb een infectietest geschreven om te controleren of je besmet geraakt kon worden door NU.nl op 14 maart tussen 11:30 en 13:43 uur bezocht te hebben. Laat je testen om te controleren of je besmet geraakt bent, of kon worden.

Deze pagina bevat geen malware: vals alarm
Iemand wist mij per mail te vertellen dat de AVG virusscanner een beveiligingsmelding geeft dat deze pagina kwaadaardige code bevat. Dat klopt ook, alleen wordt deze code alleen weergegeven in dit artikel en nooit uitgevoerd. Dit is dus een vals alarm en daarom kan deze melding dan ook gewoon worden genegeerd.

Analyse NU.nl malware
De volgende code werd tussen 11:30:00 en 13:24 uur via http://www.nu.nl/files/g.js geïncludeerd op de NU.nl website: Continue reading

Posted in analysis, drive-by, security vulnerability, website | 66 Comments

Presentation: Next in security

Posted on 11-05-2011 by Sijmen Ruwhof

Slides from a presentation that I gave about the developments in the hacking world:

Posted in presentation, security | Comments Off on Presentation: Next in security

Presentatie op PFCongres: Website vulnerability management

Posted on 17-04-2010 by Sijmen Ruwhof

Op 17 april heb ik op het PFCongres een presentatie geven over geautomatiseerd website vulnerability management.

Websitebeveiliging is een onderwerp waaraan eigenlijk pas sinds 2003 echt aandacht aan wordt besteed. In tegenstelling tot wat de meeste klanten verwachten, zijn bijna alle ontwikkelde websites niet zo veilig geprogrammeerd, als dat men zou verwachten.

Deze presentatie ging over hoe websitebeveiliging geautomatiseerd kan worden gecontroleerd, door middel van de nieuwste inzichten en software tools op het gebied van website vulnerability management.

Posted in presentation, security audit, vulnerability management, website | Comments Off on Presentatie op PFCongres: Website vulnerability management

Web Programmer’s Hacking Guide

Posted on 15-07-2004 by Sijmen Ruwhof

Ongeveer 80% van de websites op het internet hebben beveiligingslekken. Men denkt over het algemeen dat de software die men schrijft, veilig is. Ik durf het tegengestelde te beweren. Waarom? Omdat programmeurs niet geleerd wordt om veilig te programmeren. Een opmerkelijke zaak. Iedere programmeur hoort veilig te programmeren. Daarom laat ik met dit artikel een aantal veel voorkomende beveiligingslekken zien en leg uit hoe je zulke lekken kunt voorkomen.

Lees alles verder in de Web Programmer’s_Hacking_Guide (pdf).

Posted in article, cross-site scripting, php security, security audit, website | Comments Off on Web Programmer’s Hacking Guide

Contact

Posted on 01-01-1970 by Sijmen Ruwhof

You can reach me via , by phone and WhatsApp/Signal (most secure option) via +31652627625.

Posted in menu | Comments Off on Contact

Research

Posted on 01-01-1970 by Sijmen Ruwhof

Almost all my professional work is highly confidential and thus I cannot publicize about it. Sometimes I find time in my busy work schedule to write about some of my research which doesn’t fall under a non disclosure agreement. All my research projects are unpaid:

2026-03-01 De Odido-hack ontleed: belangen, risico’s en de afweging rond betaling
2021-03-13 Lots of Instagram celebrities hacked via copyright infringement phishing scam
2020-11-18 Autofabrikanten volgen bestuurders overal en verkopen wat ze over hen te weten komen
2020-11-09 Komende Tweede Kamerverkiezingen zijn wederom wéér te hacken
2019-03-07 Komende verkiezingen wederom ongezien te hacken
2018-03-13 Security assessment of Dutch election software
2018-02-27 De verborgen wereld van Nederlandse nepdatingsites met nepprofielen en teams van chatoperators
2018-01-26 Password database of MediaMarkt leaks again
2017-12-30 Biggest meeting place for pedophiles is hiding in plain sight, and the people behind it
2017-09-29 DocPlayer: One of the world’s most visited websites that nobody is aware of
2017-01-31 Websites Nederlandse politieke partijen onvoldoende beveiligd
2017-01-30 How to hack the upcoming Dutch elections – and how hackers could have hacked all Dutch elections since 2009
2016-12-20 Access to 250,000+ event tickets and personal details
2016-05-13 How I accidentally found a huge data leak during a college lecture
2015-12-08 Epic failure of Phone House & Dutch telecom providers to protect personal data: How I could access 12+ million records
2015-11-14 Scanning an enterprise organisation for the critical Java deserialization vulnerability
2015-10-04 How I could hack internet bank accounts of Danish largest bank in a few minutes
2015-07-27 Full disclosure: multiple critical security vulnerabilities (including a backdoor!) in PHP File Manager
2015-07-05 Security risk analysis of address bar spoofing bug in Chrome and Opera
2015-02-08 Mitigations against critical universal cross-site scripting vulnerability in fully patched Internet Explorer 10 and 11
2014-11-18 Cross-site scripting in millions of web sites
2014-11-08 2.364 Nederlandse bedrijfswebsites met ernstige beveiligingslekken
2014-11-01 Password hash disclosure in Linksys Smart WiFi routers
2012-03-14 NU.nl gehackt: Malware-analyse
2009-12-16 Veiligheidsanalyse iDEAL Lite voorbeeldcode
2009-12-01 Multiple vulnerabilities including SQL injection in DirectAdmin
2004-07-15 Web Programmers Hacking Guide
Posted in menu | Comments Off on Research