XSSposed – Ziel erreicht: Nummer 1 in allen Bereichen

Veröffentlicht: 8. Oktober 2014 in IT-Security
Schlagwörter:, , , ,

◾ „Stehe an der Spitze, um zu dienen, nicht, um zu herrschen! – Bernhard von Clairvaux

Nachdem ich über einen Beitrag zur Seite xssposed.org gestolpert bin und das Konzept absolut genial, wie auch einfach
fand, reihe ich mich nun seit heute in die  Liste der TOP IT-Secruity Researcher ein. Mein Ziel war es aufzuzeigen, dass
man relativ schnell sehr viele Lücken auf Webseiten finden kann.  Zunächst entwickelte ich die Software ForSeti, die
automatisch Lücken finden sollte. Schnell merkte ich aber, dass dies mit einer Software langsamer war, als selbst
händisch und mit dem richtigen „Riecher“ auf die Jagd zu gehen! ForSeti war also eine Fingerübung und wird vorerst
nicht weiter entwickelt.

Das gesteckte Ziel für XSSposed war nun, obwohl viele User dort einen gewaltigen Vorsprung hatten, die Nummer 1 unter
den TOP 50 Researchern oder sogar die Nummer 1 unter den TOP 50 VIP-Researchern zu werden. Mit Stand heute,
07.10.2014 23:50 Uhr, ist mir dies nun auch beides nach nur knapp 2 Wochen gelungen!

XSSposed Profile

XSSposed Profile

Um beim Eingangszitat zu bleiben: hier geht es nicht nur darum „erster“ zu sein, sondern darum, im Bereich der
IT-Security zu „dienen“ und das Netz ein Stück sicherer zu machen. Vor allem geht es aber darum die IT-Security-
Awareness in die Köpfe der Verantwortlichen zu bekommen! Manchmal eben auch mit drastischen Maßnahmen
und unkonventionellen eigenen Zielsetzungen, die zudem der Eigenmotivation dienen ;-)

XSSPosed-Tactic4l

XSSPosed-Tactic4l

 

Ziel der Aktion war auch den Unternehmen und Menschen, die diese verwundbaren Seiten administrieren, zu zeigen,
dass etwas unternommen werden muss! Ein ungewollter Redirect von Google, ohne jegliches zutun eines Anwenders,
der am PC nur auf einen Google-Link klickt, kann schlimme Folgen haben!

Leider bieten viele Firmen weder ein Bug-Bounty Programm an, noch honorieren Sie, dass in der Freizeit die „guten“
Hacker & Security-Freaks solche Lücken aufspüren und uneigennützig an die Unternehmen weiter kommunizieren.

Da kommt im Besten Fall ein „Ja, Danke“, oder „Das kann ja kein ernstes Problem sein…“ von vielen Unternehmen zurück.

XSSposed.org setzt genau dort an! Niemand möchte sich auf einer Seite mit seiner Domain gelistet sehen, auf der
offenkundig aufgezeigt wird, wie schlecht es um die Sicherheit auf der Seite steht und dass es den Betreibern offenbar
vollkommen egal ist, oder sie zu unfähig sind das zu beheben!

Mein Apell an Unternehmen die betroffen sind: „würdigt endlich mal die Arbeit die fremde Leute rein stecken, um euch
über EURE Fehler zu unterrichten, OHNE, dass die Presse oder eure Kunden etwas davon mitbekommen!

Safer-Web fix it!

Safer-Web fix it!

Bug Bounty Programme oder kleinere „Aufmerksamkeiten“ – im einfachsten Fall sogar nur ein „Dankesschreiben“
– würden den „freundlichen“ Hackern oft schon ausreichen. Es geht seitens der Unternehmen darum das Gesicht zu
wahren und niemanden wegen der Lücken zu beunruhigen. Die Security-Researcher wollen entweder oftmals
Aufmerksamkeit, oder schlichtweg Referenzen.

Die Alternative heißt ab heute XSSposed.org! The game is on you!

 

Video:

 

 

Advertisements

Eigenen Senf dazu geben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s