| Download whitepapers, case studies en onderzoeken over ICT-onderwerpen Computable IT Knowledge Base  |
Dagelijks het laatste ICT-nieuws in je inbox? Computable e-mail nieuwsbrief |
Internet / Nieuws
Webaanvallen worden vermomd
Hackers vermommen hun aanvallen op websites en omzeilen daarmee huidige beveiligingsmiddelen. Die webaanvallen misbruiken bekende zwakheden die weliswaar zijn afgeschermd, maar niet tegen 'encoded'-varianten van bekende aanvallen als SQL-injectie en cross-site scripting (xss).
Beveiligingsbedrijf WhiteHat Security meldt op basis van kwartaalonderzoek onder zevenhonderd websites dat ruim zestig procent van de websites een beveiligingslek heeft. Zo'n tachtig procent van de sites had een beveiligingsgat, maar sommige daarvan zijn dus gedicht. Vaak zijn de ontdekte kwetsbaarheden wel afgedekt, maar kwaadwillenden vermommen hun aanvallen waarmee de reguliere bescherming wordt omzeild. Aanvallen zijn dus steeds moeilijker te detecteren.
"De doodgewone SQL-injectie en xss-aanval (cross site scripting) worden vervangen door versleutelde varianten", zegt cto Jeremiah Grossman van WhiteHat. "Elk type aanval dat kwaadaardige code 'injecteert' in een website of webapplicatie is te vermommen met wel honderd verschillende technieken en variaties." Beveiligingsbedrijf ScanSafe neemt ook een toename van het aantal vermomde aanvallen waar. ScanSafe houdt eigen metingen bij.
WhiteHat-techneut Arian Evans gaf begin deze maand al een presentatie over transcoding van webaanvallen op beveiligingsconferentie BlackHat die plaatsvond in Las Vegas. De websitekeuring van WhiteHat is het vijfde kwartaalonderzoek van dit beveiligingsbedrijf. Het volledige rapport is online aan te vragen.
Gemiddeld vijf gaten
Veel websites hebben een of meerdere kwetsbaarheden. WhiteHat vond in zijn kwartaalonderzoek gemiddeld vijf beveiligingslekken per website. Bij 61 procent van de onderzochte websites zijn de kwetsbaarheden zo ernstig, dat de sites niet meer voldoen aan de beveiligingsregels van de betaalkaartenbranche, de PCI-DSS standaard. WhiteHat hanteert die strikte regels voor zijn weging van websites en beveiligingsgaten daarin.
Xss is het meest voorkomende probleem en werd op 67 procent van de onderzochte websites aangetroffen. Daarna volgt als grootste gevaar het vervalsen van webpagina's of zelfs complete sites (content spoofing). Dat gebeurt bij 21 procent van de sites. Andere gevaren zijn gebrek aan authorisatie (18 procent) en injectie van kwaadaardige code in SQL-databases (17 procent). Ook het misbruiken van gebruikersrechten op een site (cross-site request forgery) gebeurt vaak.
Traag
De onderzoekers van WhiteHat concluderen ook dat beveiligingsgaten in websites slecht worden aangepakt. Het duurt gemiddeld 78 dagen voordat een xss-probleem is opgelost. In het geval van SQL-injectie duurt het 43 dagen. Vaak draagt de complexiteit van websites zelf bij aan deze traagheid.
Het beveiligingsbedrijf adviseert dan ook om bij het ontwerpen en bouwen van sites meer rekening te houden met security. Dat betreft niet alleen de technische kant van een website, maar ook de beheerkant: er moeten duidelijke afspraken zijn over de verantwoordelijkheid voor de beveiliging van de site.
- 14:51 KPN ligt onder de loep bij OPTA
- 16:55 Reorganisatie bij EMC kost 2400 banen
- 16:59 Dell verplaatst productie naar Polen
- 14:17 Werken met eHRM: 4 succesfactoren
- 03:30 Bèta van Windows 7 beschikbaar
- 10:38 Europese karteldienst bezoekt NXP
- 11:03 KPN ziet geen heil meer in België
- 11:21 NOiV kijkt kritisch naar Utrechtse aanbesteding
- 10:46 'Manager moet werknemer vrijheid geven'
- 09:18 ICT-cursus Belastingdienst nog onbekend
Meer Internet
Het wat en hoe van Systeem & Netwerk Bewaking
Het monitoren van zakelijke TCP/IP-netwerken verdient een goede strategie vanwege het bedrijfskritische karakter ervan. Door zaken vroeg te signaleren kan downtime, problemen met hardware en aanverwante systemen voorkomen worden. Deze whitepaper behandelt hoe je processen voor mapping,...... Download nu
Kansen voor klantenservice telecombedrijven
Hoe hebben ICT-oplossingen invloed gehad op de klantenservice van telecombedrijven? Voor 95 procent van alle ondervraagde telecombedrijven heeft klantenservice de hoogste prioriteit. In hoeverre zij ook voldoen aan hun eigen verwachting en waar verbeterpunten liggen valt in deze whitepaper te lezen.... Download nu
Meer Internet whitepapersIE 7 versus Firefox
Het aandeel Firefox in de browsermarkt is toegenomen ondanks de komst van Internet Explorer 7. Daarmee is het Microsoft met zijn nieuwste internetprogramma niet gelukt om de groei van concurrent Mozilla af te zwakken, stelt Forrester Research.
'Microsoft kon groei van Firefox niet dempen'Access point voor geleidelijke migratie naar 11n
03-12 15:17 Lancom Systems introduceert de L-315agn dual Wireless, een dual draadloze access point. Het apparaat omvat twee draadloze modules die zowel werken op de 2,4 als de 5 GHz...
Meer internet productenTwinpack doet financieën via internet
16-07 10:21 Een van de grotere verpakkingsgroothandels in Nederland, Twinpack, is gebruiker van Covide CRM-Groupware en daarover bijzonder tevreden. 'We kunnen nu een goed en op onze...
Meer internet praktijkHet einde van de IT-afdeling
31-12 13:42 Cloud computing, het succes van Salesforce.com, de groei van digitale sociale netwerken. Allemaal tekenen aan de wand: informatietechnologie wordt het domein van een paar grote...
Meer internet achtergrondSlim omgaan met de traditionele database
16-12 14:47 Met de huidige technologieën lijkt het voor bedrijven steeds gemakkelijker te worden om nieuwe klanten te vinden. Zoekmachine marketing, Google AdWords en e-mailmarketing zijn op...
Meer internet opinieBekijk de leveranciers op het gebied van Internet.
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / IntermediairPW / HRbase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / InFinancieel.nl / IT Directory.nl / Marketingdirectory.nl / Computable / Emerce / CRN / Vnunet.nl / Tweakers.net / Koopinfo / Management Team / Sprout
Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © VNU Media
Beetje goede CGI,PERL,JAVA programmeur laat zijn eigen webserver script (1) eerst alle input parameters van zijn webfrontend checken of ze uberhaupt toegestaan zijn, (2)nog voordat ie zijn script ook maar iets laat uitvoeren.
Dit heet de "Defensie Programming Attitude(tm)", waarbij de programmeur/ coder (en geen point and click script kiddie) er By Default vanuit dat de gebruiker alle input kan ver**** bewust of onbewust. Pas als alle input binnen de gestelde grenzen zijn, dan gaat het script verder met de uitvoer ervan.
Oh ja das is handwerk, en geen template bakkerij ;-)
Simpel toch? Check first, execute code later.
XXS ellende is ook simpel op te lossen:
Installeer op je clients Firefox met NoScript. Valt er ook niks te crosscripten ;-)
# "Security is not found in tools"
# "Security is found in a programmers state_of_mind";