Iedereen in de min ?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Java Developer / Overheid / Complexiteit

Functieomschrijving Wil jij als Java Developer een bijdrage leveren aan een veiliger Nederland en je als Java Developer bezig houden met zeer complexe bedrijfskritische applicaties? Lees dan snel verder! Doorontwikkelen bedrijfskritische applicaties; Aanpassingen maken in de bestaande applicatie; Vertalen van jouw visie op continuous integration en continuous delivery; Debuggen van de applicatie; In gesprek gaan met eindgebruikers om verbetervoorstellen op te halen. Functie-eisen Minimaal HBO-werk en denkniveau; Minimaal 5 jaar werkervaring als Java Developer; Je bent minimaal OCP-Java SE 6 gercertificeerd; Je hebt kennis van Webservices en Continuous Integration; Je bent analytisch sterk en zowel klant- als resultaatgericht. Bedrijfsomschrijving Binnen

Bekijk vacature »

Senior DevOps-ontwikkelaar eIDAS

Functie­omschrijving Burgers en bedrijven veilig en betrouwbaar digitaal toegang geven tot diensten en producten van het ministerie van Economische Zaken en Klimaat. Als senior DevOps-ontwikkelaar bouw je daar letterlijk aan mee. En dat doe je bij DICTU: een van de grootste en meest vooruitstrevende ICT-dienstverleners van de Rijksoverheid. Jij werkt mee aan de doorontwikkeling van eIDAS, dat staat voor Electronic IDentification Authentication and trust Services. Deze koppeling maakt de grensoverschrijdende authenticatie op overheidswebsites binnen de Europese Unie mogelijk. Het ministerie van Economische Zaken en Klimaat heeft één moderne toegangspoort voor zijn diensten en inspecties. Enkele daarvan zijn dankzij eIDAS inmiddels

Bekijk vacature »

Simone Joosten

Simone Joosten

06/04/2013 21:29:21
Quote Anchor link
Hallo ik heb een eigen site, nu ineens staan alle saldo's in de min.
Heeft iemand enig idee waar ik het probleem moet zoeken ?
De aanmeldingen gaan wel gewoon goed, de aanmeldbonus ook
alleen zo ineens stond alles in de min :(

Groetjes Spaarkoetje
 
PHP hulp

PHP hulp

21/09/2020 01:49:53
 
Nick Dijkstra

Nick Dijkstra

06/04/2013 21:50:40
Quote Anchor link
Misschien hetzelfde probleem als ING ;)

Laat eens wat relevante code zien! Zonder code kunnen we je niet helpen.
 
- Ariën -
Beheerder

- Ariën -

06/04/2013 21:52:14
Quote Anchor link
Ik durf te wedden dat iemand gewoon negatieve saldo's heeft kunnen invoeren, of bezig is geweest met SQL-injection.

Teruggrijpen naar de backup, en direct het lek zoeken.
Gewijzigd op 06/04/2013 21:55:58 door - Ariën -
 
Simone Joosten

Simone Joosten

06/04/2013 22:52:21
Quote Anchor link
sorry ben er niet handig in. maar waar moet ik beginnen te zoeken ? en waar naar ?
 
- Ariën -
Beheerder

- Ariën -

06/04/2013 23:04:14
Quote Anchor link
1) Zet een backup terug.
2) Haal de site offline tot het lek gevonden is.
3) Doorspit je logbestanden van de server. Hierin staat vast wel een aanwijzing waar en hoe het gebeurd is.
4) Dicht dat lek

Ik hoop van harte dat het geen source is uit het jaar kruik, want eigenlijk zou je als je een dergelijke site runt, zelf wel moeten weten hoe het script werkt.
 
- Mark -

- Mark -

06/04/2013 23:07:17
Quote Anchor link
:p nu begint het echte werk.

De fout kan overal zitten, elke pagina waar database interactie is moet beveiligd zijn.
 
Simone Joosten

Simone Joosten

06/04/2013 23:19:21
Quote Anchor link
het gaat om het script van bidclix.nl
ik heb het script overgenomen en online gezet, de eerste 3 dagen ging het goed, en ineens stond dus iedereen
met zijn saldo in de min, is het niet veilig dan ? en hoe kan ik dat alsnog beveiligen ?
 
Jasper DS

Jasper DS

06/04/2013 23:35:42
Quote Anchor link
http://spaarkoetje.nl/inloggen.php -> sql injectie mogelijk.
 
- Mark -

- Mark -

06/04/2013 23:40:28
Quote Anchor link
Je zult waarschijnijk het gehele script moeten doorlopen om alles goed te beveiligen. Waar maak het script gebruik van? MySQL_, MySQLi_, PDO_?
 
Bart V B

Bart V B

07/04/2013 00:21:42
Quote Anchor link
Quote:
met zijn saldo in de min, is het niet veilig dan ? en hoe kan ik dat alsnog beveiligen ?

Dat lijkt me niet veilig nee.
Hoe je het alsnog kunt beveiligen, is heel eenvoudig:
Post de relevante code van de update query's, dan kunnen we daar wat tips over geven.
Zonder code kunnen we je niet helpen...
 
Simone Joosten

Simone Joosten

07/04/2013 09:41:05
Quote Anchor link
Het gaat niet om het script van spaarkoetje.nl dat is een vergissing
En de update query's waar moet ik die vandaan halen het gaat om het script van bidclix.nl
dat is niet mijn site, maar wel hetzelfde script
 
- Ariën -
Beheerder

- Ariën -

07/04/2013 11:14:08
Quote Anchor link
In het script van Spaarkoetje zie ik toch echt een dik SQL-lek.

Tja, doorloop al je mysql_query()´s eens op $_POST, $_GET, $_SESSION en $_COOKIES variabelen en beveilig deze met mysql_real_escape_string.

Ik heb je al eerder dit jaar (toen je je andere account nog gebruikte) hier uitleg over gegeven.....
Gewijzigd op 07/04/2013 11:14:41 door - Ariën -
 
Simone Joosten

Simone Joosten

07/04/2013 11:15:11
Quote Anchor link
Spaarkoetje.nl is niet van mij
dat probeer ik dus al de heletijd te zeggen

Groetjes
 
- Ariën -
Beheerder

- Ariën -

07/04/2013 11:20:30
Quote Anchor link
Waarom noem je je dan zo op het forum?

Dan alsnog raad ik zeker aan om de queries te controleren op mogelijkheden tot injection.
 
Simone Joosten

Simone Joosten

07/04/2013 11:23:26
Quote Anchor link
Dat laatste ben ik inmiddels aan het doen met iemand samen die er verstand van heeft.

Groetjes

Toevoeging op 07/04/2013 15:36:16:

Oke probleem van de saldo zijn we achter, maar nu het volgende, hoe krijg ik hier 1 link weg ?
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
<?
include_once ("../include.inc.php");
include_once ("../users.inc.php");
design_boven($naamsite. ' - Promotie Materiaal');
check_login();
if($modules['referral'] == 1) {
?>

<h1>Leden aanbrengen</h1>
Door leden aan te brengen kunt u snel geld verdienen. Als iemand zich aanmeld via onderstaande link of banners kunt u &euro;<? echo $refvergoeding; ?> verdienen!<br/>
Promoot daarom de onderstaande link en banners zo veel mogelijk. Bijvoorbeeld op uw website, op Twitter, Facebook of via MSN.<br/>
<br/>
<b>Persoonlijke Link :</b>
<br /><p>
<input type="text" style="width:500px;" readonly="readonly" value="<? echo $link ; ?>/aanmelden/<? echo $id_user; ?>"><br /><br />
</p>
<b>HTML code voor op je website:</b>
<br /><p>
<textarea rows="3" cols="60" readonly="readonly"><a href="<? echo $link ; ?>/aanmelden/<? echo $id_user; ?>"><b><? echo $naamsite ; ?> - <? echo $motto; ?></b></a></textarea><br />
</p>
Voorbeeld: <a href="<? echo $link ; ?>/aanmelden/<? echo $id_user; ?>"><b><? echo $naamsite; ?> - <? echo $motto; ?></b></a>
<br/><br/><br/>
<b>Banner HTML code (234*60):</b>
<br /><p>
<textarea rows="3" cols="60" readonly="readonly"><a href="<? echo $link ; ?>/aanmelden/<? echo $id_user; ?>"><img src="<? echo $link ; ?>/img/<? echo $_SERVER['HTTP_HOST']; ?>/banner1.png"></a></textarea><br /><br />
</p>
Voorbeeld: <br/><br/>
<a href="<? echo $link ; ?>/aanmelden/<? echo $id_user; ?>"><img src="<? echo $link ; ?>/img/<? echo $_SERVER['HTTP_HOST']; ?>/banner1.png" border="0"></a>
<br/><br/><br/>
<b>Banner HTML code (468*60):</b>
<br /><p>
<textarea rows="3" cols="60" readonly="readonly"><a href="<? echo $link ; ?>/aanmelden/<? echo $id_user_user; ?>"><img src="<? echo $link ; ?>/img/<? echo $_SERVER['HTTP_HOST']; ?>/banner2.png"></a></textarea><br /><br />
</p>
Voorbeeld: <br/><br/>
<a href="<? echo $link ; ?>/aanmelden.php?referral=<? echo $id_user; ?>"><img src="<? echo $link ; ?>/img/<? echo $_SERVER['HTTP_HOST']; ?>/banner2.png" border="0"></a>
<br/><br/><br/>
<b>Banner HTML code (500*500):</b>
<br /><p>
<textarea rows="3" cols="60" readonly="readonly"><a href="<? echo $link ; ?>/aanmelden/<? echo $id_user_user; ?>"><img src="<? echo $link ; ?>/img/<? echo $_SERVER['HTTP_HOST']; ?>/banner3.png"></a></textarea><br /><br />
</p>
Voorbeeld: <br/><br/>
<a href="<? echo $link ; ?>/aanmelden/<? echo $id_user; ?>"><img src="<? echo $link ; ?>/img/<? echo $_SERVER['HTTP_HOST']; ?>/banner3.png" border="0"></a>
<?
}
else {
echo'
<h1>Fout</h1>
Deze pagina is niet gevonden.
'
;
}

design_onder();
?>


Hij geeft nu twee keer een link dus domein.nl/img/domein.nl/banner1.png zeg maar, en de laatste domein.nl moet weg

Bas IJzelendoorn:
Graag in het vervolg bij code, [code] [/code] tags gebruiken.
Gewijzigd op 09/04/2013 22:25:17 door Bas IJzelendoorn
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.