We would like to inform you that a security vulnerability affecting www.familiedom.be website was reported via Open Bug Bounty coordinated and responsible disclosure program. Submission details are available here: https://www.openbugbounty.org/reports/3881557/
Following the ISO/IEC 29147 (“Information technology — Security techniques — Vulnerability disclosure”) guidelines, we verified the vulnerability's existence prior to notifying you. Please contact the security researcher directly for technical details of the vulnerability, his/her profile is available on the submission page. The researcher may also help remediate the vulnerability if you need any assistance. If you received this notification by error, please accept our apologizes and forward it to your IT security team or a person in charge of your website security.
Ik heb totaal geen idee waar ze het over hebben. Aan de informatie die op hun website staat kan ik al helemaal niet aan uit. Ik heb nog nooit van Open Bug Bounty gehoord. Ik ben dan ook niet geneigd om ze hierover te contacteren, want betalen ga ik niet aan één of andere organisatie die uit zichzelf mails begint te sturen (= spam), en als ik weiger te betalen zouden ze de bug wel eens kunnen gaan gebruiken bij wijze van blackmail.
Ik geef het hier maar door, omdat de website op HumoGen draait. Misschien geraak jij er wel wijs uit?
Voor zover ik kan zien heeft een gebruiker "Bousfiha540" een "Cross Site Scripting Vulnerability" gevonden op je website.
Maar: deze fout is niet in te zien. Ze gaan deze fout op 19 juni publiceren.
Als ik verder doorklik dan geven ze o.a. aan:
Bootstrap 5.3.2. The component is outdated. No known security vulnerabilities found.
Er is nu Bootstrap 5.3.3. Heb ik nog niet bijgewerkt.
Ik heb geen idee wat ik hiermee moet. Ze verbergen wat het probleem is. Er is ook niet te zien of het een server probleem is of de HuMo-genealogy app.
En zo te zien heeft deze gebruiker vele honderden websites aangemeld, en wil hij 100 dollar of euro om de gevonden fout door te geven (bij voorkeur 300 dollar).
Als ik door de aanmeldingen blader, dan lijkt het erop dat vele honderden websites er niets mee doen. Er is misschien wel een fout, maar ze doen er niets mee.
Op 19 juni wordt de fout gepubliceerd, dan kunnen we het oplossen...
HuMo-genealogy update? Backup your database! Editing in HuMo-genealogy? Backup your data!
Make multiple backups with: PHPMyAdmin, gedcom export and database export.
Betalen ga ik sowieso niet doen. Ik heb me nooit aangemeld op die website, zelfs nog nooit eerder van gehoord. Ik vind het best onethisch dat die op zoek gaan naar vulnerabilities op je website, om je dan ongevraagd te emailen en geld te vragen om die vulnerability kenbaar te maken.
Mijn website kost mij enkel maar geld, en levert me geen eurocent op, want ik verkoop niets en toon geen advertenties. Dus geen inkomsten. Waar halen ze het in hun hoofd om dan geld te gaan vragen. Terwijl we eigenlijk niet eens weten of het echt om een fout/probleem/vulnerability gaat of niet, maar eenmaal betaald is je geld wel weg.
We zullen inderdaad afwachten tot 19 juni en zien wat ze dan openbaar maken. Moest ik intussen nog zulke meldingen krijgen, laat ik het je wel weten. Hopelijk een storm in een glas water.
Ik zie ook nog dat jquery outdated is, maar met de gebruikte versie zijn ook geen vulnerabilties voor bekend.
En volgens mij geldt hetzelfde voor glightbox.
En er ontbreken wat HTTP security headers:
Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options
Dit zijn vaak wat instellingen die je op een webserver kunt instellen.
En een CSP security policy ontbreekt.
Verder is er een aanbeveling voor de geplaatste php cookie:
COOKIE: PHPSESSID
The cookie is missing Secure, HttpOnly and SameSite flag. Make sure it does not store sensitive information.
Maar dit zijn meer aanbevelingen om een site veiliger te maken en misbruik te voorkomen
HuMo-genealogy update? Backup your database! Editing in HuMo-genealogy? Backup your data!