stamboomforum

Forum logoGenealogie software / GEDCOMs » Waarschuwing GensDataPro stamboomwebsite



Profiel afbeelding

(Ik had vorige week een bericht geplaatst op het forum het NGV helpcentrum, maar daar is mijn bericht niet geplaatst of verwijderd. Ik hoop dat mijn waarschuwing aan genealogen op dit forum wel zichtbaar blijft!)

Enkele weken geleden kreeg mijn vader een e-mail van een beveiligingsexpert dat zijn website onveilig zou zijn. Hij heeft dit bericht aan mij laten zien en ik kon helaas bevestigen dat het geen spam/onzin was, dat zijn online stamboom inderdaad onveilig was. Het bericht bevatte ook een link naar zijn website die het lek aantoonde. Zeer geschrokken heeft mijn vader de stamboom direct van internet gehaald.

Mijn vader heeft geen verstand van programmeren, hij ging er vanuit dat de website die zijn stamboomprogramma maakt veilig was. Helaas: GensDataPro maakt dus geen veilige website code! Het blijkt dat de website code die GensDataPro maakt een Cross Site Scripting zwakheid bevat. De mail van de beveiligingsexpert bevatte ook een link voor meer informatie hierover https://owasp.org/www-community/attacks/xss/ maar dat is meer voor de makers van GensDataPro. Wat ik er van begrjp is dat de door GensDataPro de invoer niet controleert waardoor het mogelijk is code te injecteren.

Ik ben boos op de makers en verkopers van GensDataPro dat ze geen veilige software heeft geleverd aan mijn vader. Nog meer, ben ik eigenlijk kwaad dat makers en verkopers van GensDataPro hun gebruikers niet waarschuwen over dit lek. Dit bericht is mijn bijdrage om deze waarschuwing bij stamboomonderzoekers te krijgen!

Han (268) - 20 feb 2021 - 18:51

niet meer relevant

Uitgeschreven lid - 20 feb 2021 - 20:10 (laatst bijgewerkt 20 aug 2021 — 21:21 door auteur)

@Han en @Herman,

Vanuit mijn ervaring kan ik bevestigen dat je Cross Site Scripting als een serieus lek kunt bestempelen en dat dit voorkomen moet worden.

Het misbruiken van een dergelijk lek vereist twee stappen door een hacker. Eerst dient er code gemaakt te worden die bijv. misinformatie/illegale inhoud toont of gebruikersnaam/wachtwoord probeert te ontfutselen (door inlogpagina tot in detail na te maken). Daarna moet de hacker via bijv. e-mail anderen op een link te laten klikken naar de website met een Cross Site Scripting lek. Bij Cross Site Scripting wordt niet alle gebruikersinvoer (wat een URL in wezen is) gecontroleerd waardoor de in de eerste stap gemaakte code geïnjecteerd kan worden. Vaak wordt er op de link geklikt omdat men alleen naar de domeinnaam van een URL kijkt (bijv. stamboomforum.nl) en niet wat er allemaal achter staat, dus het vertrouwen dat een domeinnaam heeft wordt dan misbruikt in de hack. Ook kunnen hier URL-shorteners ingezet worden zodat je niet ziet dat er in het parameterdeel van de URL rare code staat. Als er op de link wordt geklikt door niets vermoedende ontvangers wordt de kwaadwillende code via de lekke website in de browser van de ontvanger uitgevoerd. En dat is een groot risico!

Goede nieuw is dat dit probleem eenvoudig is te voorkomen: gebruikersinvoer kan niet vertrouwd worden. Simpel gezegd: wat een gebruiker (en dat kan dus ook een hacker zijn) invoert / aanlevert kun je als webontwikkelaar niet ongecontroleerd weer tonen in een webpagina. De OWASP website is al zo'n 20 jaar een goede bron voor programmeurs om te leren over Web Application Security.

Bob Coret - 22 feb 2021 - 10:22

niet meer relevant

Uitgeschreven lid - 22 feb 2021 - 16:01 (laatst bijgewerkt 20 aug 2021 — 21:22 door auteur)

niet meer relevant

Uitgeschreven lid - 23 feb 2021 - 16:46 (laatst bijgewerkt 20 aug 2021 — 21:22 door auteur)

Hoewel het volgende misschien niet te maken heeft met het probleem van Cross Site Scripting en website, wil ik het toch hier melden.
Het blijkt dat het als een bijlage versturen van een gedcom gemaakt vanuit GensDataPro niet lukt via KPNMail. Ik krijg dan consequent een foutmelding met code 550 5.0.0.   Navraag bij KPN gaf volgende antwoord (van KPN Abuse team voor veiligheidsincidenten):
In het bestand staat een verwijzing naar het domein homecomers punt org, welke het spamfilter triggert. Er wordt veel spam gezien met dit domein erin. Wij raden u aan die verwijzing uit het bestand te halen en het nogmaals te proberen. 
Daar kan ik niet mee. Dus dan maar versturen via gmail, wat wél lukte.

Groet, Richard
 

Richard de Grood - 2 mar 2021 - 15:47

Ik zou dit melden bij GensdataPro; zij kunnen er wat mee.

Hier is het alleen maar ter info voor anderen

Uitgeschreven lid - 2 mar 2021 - 16:44

@Herman, de topic-starter (Han) schrijft dat het bij GensDataPro is gemeld.

Bob Coret - 3 mar 2021 - 00:29

He Bob, je reageert niet op je mail. Waarom niet ?

Deze kpn foutmelding heeft niets met GensDataPro te maken.

De HTML-uitvoer van GDP is een heel simpele. We zouden niet weten wat er mee gelekt zou kunnen worden.

Bas Wilschut - 3 mar 2021 - 11:02

Dag Richard,

Omdat ik ook kpnmail gebruik heb ik aan een paar personen een GensDataPro gedcom als bijlage gestuurd.
Die zijn allemaal probleemloos aangekomen. En dat verbaasd me eigenlijk niet. Een verwijzing naar het domein homecomers punt org is zeker niet aanwezig in een gedcom die GensDataPro aanmaakt, tenzij deze in de ingevoerde gegevens aanwezig is.
GensDataPro zelf is hierbij dus niets te verwijten.
Uit eigen ervaring is gebleken dat het weigeren van een e-mail wegens spam vaak aan kleine dingen kan liggen.
Hierbij kan de gebruikte extensie van de bijlage een rol spelen. Extensies als .zip worden meestal geweigerd.
En ook bepaalde karakters of woorden in de titel of in de tekst van het bericht kunnen aanleiding zijn om een bericht als spam te beoordelen.
Kijkt u eens of dit bij u het geval kan zijn.

Groet, Jaap

J.C.E.D. de Rooij - 3 mar 2021 - 11:45

@Han, een correctie c.q. reactie is hier denk ik wel op z'n plaats, zij werken vanuit de NGV gelederen ook hard aan een goed programma.

In de aanvang gelijk beschuldigen is niet erg netjes, tenzij aangetoond met iets tastbaars zodat het uitgezocht kan worden.

Uitgeschreven lid - 3 mar 2021 - 15:40

Ik vind het vreemd hier de reactie van naar ik begrijp de ontwikkelaar van GensDataPro te lezen. Ik heb via het forum het NGV helpcentrum het lek gemeld met ook een voorbeeld die ik op basis van van de informatie van de beveiligingsexpert heb gemaakt. Dat mijn bericht op dat forum niet is geplaatst of is verwijderd zegt mij genoeg: doofpot.

Ik ga mijn bericht van 20 feb 2021 niet herhalen, de ontkenning van de ontwikkelaar is stuitend en benadrukt zijn onkunde.

Nogmaals de HTML-uitvoer van GensDataPro is lek en dat is een risico voor GensDataPro gebruikers!!!!! Hier moet men gebruikers voor waarschuwen!!!!!

Nogmaals een eenvoudig & niet-kwaadaardig voorbeeld van het lek in een website van een willekeurige GensDataPro gebruiker: link

Han (268) - 3 mar 2021 - 15:58

@Han,

Ik kan begrip opbrengen voor de frustratie, maar ik wil je vragen op je toon te letten (zie gedragsregels).

Via e-mail is mij gevraagd om dit topic - aangeduid als "een nogal dom verhaal" - weg te halen. Daar zie ik geen aanleiding toe! 

U wijst op een beveiligingsprobleem in de door GensDataPro gegenereerde websites die met de proof of concept link in het bericht van gisteren wordt bevestigd. Het risico wordt alleen niet begrepen en onderkend door de makers. Aan hen: Google eens op "impact of xss vulnerability", repareer de website-generator en informeer je gebruikers, want hun websites zijn nu kwetsbaar!

Bob Coret - 4 mar 2021 - 11:52

"><div onmouseover="alert(location.hostname+' Wufff! Wufff!')">click me!</div>

Dit formulier veld lijkt tenminste XSS-bestendig:-)

Pauline Berens EBBI - 10 apr 2021 - 23:26 (laatst bijgewerkt 13 apr 2021 — 17:10 door auteur)

Hooguit omgezet tot click me! na bewerking in de editor, zonder mouseover effect.

click me!

Pauline Berens EBBI - 11 apr 2021 - 10:12 (laatst bijgewerkt 11 apr 2021 — 11:15 door auteur)

In deze site

Website van nab (GensDataPro Website) (paulvanderhorst.com)

van het voorbeeld staat niets schokkends in de html code.

Als alle scriptjes eruit zijn gehaald dan blijft het plaatje precies hetzelfde; dat betekend dus dat de PHP server zelf is gehacked.

Iemand heeft dit html + scriptje op de slecht beveiligde server gewisseld met het origineel.

Dat heeft dus niets met die html pagina van GdP zelf te maken.

Uitgeschreven lid - 12 apr 2021 - 21:50

Dag Herman,

Als je via Google zoekt naar 'Paul van der Horst GensDataPro' of 'Website nab GensDataPro' vindt je steeds de PHP website 'Website van nab' die er gewoon goed uitziet. Wel is de startpersoon verschillend.
Alle voorgaande correspondentie betreft ook alleen de PHP-uitvoer van GensDataPro en niet de HTML-uitvoer.

Mvg Jaap

J.C.E.D. de Rooij - 13 apr 2021 - 12:11

Dag J.C.E.D

De html pagina bevat geen enkele php code

Volgens de maker bevat de GdP alleen standaard htmlcode; en dat is ook wat ik her en der zie.

Maar als je de pagina in een php omgeving plaatst, dan kan dat gevolgen hebben met parameters meegeven; want dat is wat ik zie:

http://www.paulvanderhorst.com/nabphp/nab.php?zan=%22%3E%3Cstyle%3Ebody%20{transform:%20rotate(180deg);}%3C/style%3E
http://www.paulvanderhorst.com/nabphp/nab.php?p=1771&serie=-1&zender=&biomode=kort&totalhits=&geklikt=&zan=&zvn=&san=&svn=

Die nab.php is niet van GdP dus volgens de maker.

Uitgeschreven lid - 13 apr 2021 - 22:13 (laatst bijgewerkt 13 apr 2021 — 22:13 door auteur)

Het gaat hier om de php uitvoer van GDP, van 2014. Die is ondertussen allang aangepast.

Bas Wilschut - 14 apr 2021 - 09:31


Hallo Bas, uit je reactie begrijp ik dat gebruikers van GensDataPro alleen hun website opnieuw hoeven te generen om minder XSS-risico te lopen. Kennelijk weten ze dat nog niet allemaal. Misschien handig aandacht te besteden aan XSS op jullie FAQ pagina, in 'n nieuwsbrief of 'n persoonlijke mail aan alle gebruikers? 

https://www.gensdatapro.nl/site/FAQ/Website.htm

Pauline Berens EBBI - 14 apr 2021 - 11:37 (laatst bijgewerkt 14 apr 2021 — 11:48 door auteur)







Plaats een reactie

Om reacties (en nieuwe onderwerpen) te plaatsen op het Stamboom Forum dient u eerst in te loggen! Nog geen lid? Registratie is gratis en snel!


Inloggen Registreer nu