Hidde Smit

@Queen_fennec @Wietsman en ik zijn er ook bij. Zie je daar!

Vegas baby! @defcon, beware. I have sharp edges.

@Cvthof @Wietsman spotted ;)

Today at #HTH23 we got hardware hacks within scope too.

@Tom_Wolters Lijkt een beetje op ons qlik onderzoek xD

Made an educational write-up about finding and exploiting SSRF vulnerabilities in web applications. Check it out here: cybereagle.io/blog/finding-a…

@envirosec Uit het rapport blijkt dat het niet zeker is of het een bio engineerd wapen is, of snap ik het niet goed? Maar vrij ernstig inderdaad, toch wel fijn dat zo'n rapport gepubliceerd word. Dan stopt alle speculatie en kunnen stappen ondernomen worden.

#China kan haar borst gaan nat maken. De gevolgen van het ontwikkelen van een Biowapen gaat China de spreekwoordelijke kop kosten. #ChinaLiedPeopleDied - Evidence of a Lab Leak - Evidence of Genetic Modification - Evidence of Lab Leak Cover up. gop-foreignaffairs.house.gov/wp-content/upl…

@GossiTheDog I noticed that Shodan sometimes has vCenrter version information. However I was unable to find this version information by myself on any of the listed targets. Does Shodan do fingerprinting using the '/sdk' SOAP endpoint themselves?

@garethheyes I submitted the vulnerability to EA. It's a tweaked version of this one: github.com/zeropwn/vulner… When everything is fixed and done, I'll write a small blog post. Will give you credit for giving me a hint :)

@HiddeSmit No problem glad to be of help

@garethheyes I'm trying to abuse reflected XSS using an URI handler. Angular 1.5.11 and the following characters are escaped with a backslash: \/[].{}$ I'm trying to call a JavaScript function. But I can't because of the escaping, how to call a function without dots/brackets?

@garethheyes Yea you're right! HTML encoding and than URL encode the &. It actually worked! Had some struggle with calling the JavaScript function. But it was because I had nested quotes and had to escape the nested quotes. Thanks so much for the help! <3

@HiddeSmit Can't you just use HTML encoding?

@garethheyes () is also filtered

@envirosec Op ftm zijn alle artikelen ingesproken. Deze kan je ook luisteren zonder lid te zijn. Had het gemeld, maar de kosten voor het oplossen zijn hoger dan de risico op uitbuiting.

Whahaha, te grappig... Je kunt met een hele eenvoudige 'hack' (niet eens een hack) de blokkering op pagina's voor leden van @FTM_nl en bijvoorbeeld @Volkskrant omzeilen... LOL. 2 keuzes... bekend maken of deze media de info verkopen. Wat zou men er voor over hebben?😄😂

@cryptoron @ferdgrapperhaus We hebben allemaal de schade van de NSA EternalBlue exploits meegemaakt. Achterdeurtjes klinkt echt als een goed idee 🤣 /s Zo gauw iemand hier lucht van krijgt gaat het massaal uitgebuit worden.

De discussie over de whatsapp achterdeurtjes lijkt nu een semantische discussie te worden. @ferdgrapperhaus blijft volhouden dat hij binnen het kader van de belofte uit de 2016 blijft om encryptie niet te verzwakken. rijksoverheid.nl/binaries/rijks…

@jarsnah12 @offsectraining I'm almost 2months through. I don't think I'll have enough time to complete the labs. Nearly finished with the entire course. Will be extending labtime for the lab challenges. So what's up with the exam not working? I read someone else his exam wasn't set up correctly as well.

Just finished my exam for the Pen-300 (#OSEP) offered by @offsectraining and wanted to offer up some thoughts and suggestions for anyone else who might be interested in this class. A thread. 1/n

@envirosec Goed voorbeeld daarvan is het regelmatig moeten wijzigen van je wachtwoord. Resultaat is dat je tijdens pentesten zeer makkelijk te kraken wachtwoorden voorbij ziet komen. Volgens de nieuwe NIST guidelines hoeft dit alleen bij indicators van een breach.

Security normen en standaarden voldoen niet, we zien het dagelijks fout gaan. Het is ons ook nog nooit gelukt om bindende afspraken met onze vijanden te maken. Sterker nog, kwaadwillenden hebben standaard lak aan een veiligheidsnorm/standaard. 😌 #opsec #infosec #CyberSecurity

@envirosec Mooie CV filler: "Ontwikkelen, produceren en uitgeven van software." Weinig concrete zaken in de CV. Cyber security. Wat in cyber security... Zijn er serieus mensen die een CV als dit positief beoordelen?

🕵️‍♂️🤝🕵️‍♂️ Kreeg ik van een kuchende man in een regenjas... De originele CV van #DataHari Rian Van Rijbroek. 90% van wat erop staat bleek feitelijk niet juist. (Zie voor een gedetailleerde opsomming o.a.: feitoffake.wordpress.com/2018/02/02/nie…). Alleen haar echte beroep staat er niet op 😂😇

@cryptoron Zou een goede vooruitgang zijn. Maar dan moet het wel goed besteed worden. Efficiëntie is soms ver te zoeken.

Formateurs letten jullie op: Macron doet even een miljard euro in het cybersecurity zakje. De laatste kabinetsperiode zaten we in NL op 95 miljoen euro.

@envirosec Ben benieuwd hoe het verloopt. Wel het hele verhaal plaatsen als eenmaal alles verzameld is he 🍿 Was bij een pentest waar een klant vol trots vertelde dat hij het boek 'unhacked' had gelezen en dat het mega interessant en leerzaam was. Was wel weer even een diepte puntje.

Bij deze de sommatie van de advocaat van Rian van Rijbroek en mijn reactie daarop. To be continued. #datahari #RianvanRijbroek

@Schellevis NOREA Handreiking DigiD-assessments normen zijn alles behalve up-to-date. Dit artikel zal dan ook bij niet technische mensen de verwachting scheppen dat coronatest.nl ernstig lek is. Iets meer context of meer nuance was wel op zijn plaats.

@danielverlaan NordVPN ondersteund geen portscans, staat ook in hun policy. Als je portscanned word je halverwege afgekapt. Is voor mij de reden geweest om CyberGhost te gebruiken.

@cybergibbons There is nothing wrong with having a large default Kali install. During on-site engagements you might need tools you haven't thought of using before. At these times you might not have internet. So having an abundance of tools seems pretty useful.