| Download whitepapers, case studies en onderzoeken over ICT-onderwerpen Computable IT Knowledge Base  |
Dagelijks het laatste ICT-nieuws in je inbox? Computable e-mail nieuwsbrief |
security / Nieuws
Webaanvallen worden vermomd
Hackers vermommen hun aanvallen op websites en omzeilen daarmee huidige beveiligingsmiddelen. Die webaanvallen misbruiken bekende zwakheden die weliswaar zijn afgeschermd, maar niet tegen 'encoded'-varianten van bekende aanvallen als SQL-injectie en cross-site scripting (xss).
Beveiligingsbedrijf WhiteHat Security meldt op basis van kwartaalonderzoek onder zevenhonderd websites dat ruim zestig procent van de websites een beveiligingslek heeft. Zo'n tachtig procent van de sites had een beveiligingsgat, maar sommige daarvan zijn dus gedicht. Vaak zijn de ontdekte kwetsbaarheden wel afgedekt, maar kwaadwillenden vermommen hun aanvallen waarmee de reguliere bescherming wordt omzeild. Aanvallen zijn dus steeds moeilijker te detecteren.
"De doodgewone SQL-injectie en xss-aanval (cross site scripting) worden vervangen door versleutelde varianten", zegt cto Jeremiah Grossman van WhiteHat. "Elk type aanval dat kwaadaardige code 'injecteert' in een website of webapplicatie is te vermommen met wel honderd verschillende technieken en variaties." Beveiligingsbedrijf ScanSafe neemt ook een toename van het aantal vermomde aanvallen waar. ScanSafe houdt eigen metingen bij.
WhiteHat-techneut Arian Evans gaf begin deze maand al een presentatie over transcoding van webaanvallen op beveiligingsconferentie BlackHat die plaatsvond in Las Vegas. De websitekeuring van WhiteHat is het vijfde kwartaalonderzoek van dit beveiligingsbedrijf. Het volledige rapport is online aan te vragen.
Gemiddeld vijf gaten
Veel websites hebben een of meerdere kwetsbaarheden. WhiteHat vond in zijn kwartaalonderzoek gemiddeld vijf beveiligingslekken per website. Bij 61 procent van de onderzochte websites zijn de kwetsbaarheden zo ernstig, dat de sites niet meer voldoen aan de beveiligingsregels van de betaalkaartenbranche, de PCI-DSS standaard. WhiteHat hanteert die strikte regels voor zijn weging van websites en beveiligingsgaten daarin.
Xss is het meest voorkomende probleem en werd op 67 procent van de onderzochte websites aangetroffen. Daarna volgt als grootste gevaar het vervalsen van webpagina's of zelfs complete sites (content spoofing). Dat gebeurt bij 21 procent van de sites. Andere gevaren zijn gebrek aan authorisatie (18 procent) en injectie van kwaadaardige code in SQL-databases (17 procent). Ook het misbruiken van gebruikersrechten op een site (cross-site request forgery) gebeurt vaak.
Traag
De onderzoekers van WhiteHat concluderen ook dat beveiligingsgaten in websites slecht worden aangepakt. Het duurt gemiddeld 78 dagen voordat een xss-probleem is opgelost. In het geval van SQL-injectie duurt het 43 dagen. Vaak draagt de complexiteit van websites zelf bij aan deze traagheid.
Het beveiligingsbedrijf adviseert dan ook om bij het ontwerpen en bouwen van sites meer rekening te houden met security. Dat betreft niet alleen de technische kant van een website, maar ook de beheerkant: er moeten duidelijke afspraken zijn over de verantwoordelijkheid voor de beveiliging van de site.
- 15:10 PinkRoccade maakt TSS stabieler en breder
- 15:18 Hitachi haakt aan op SSD Intel
- 12:45 ASML vreest kaalslag chipsector
- 17:19 Oud-directeur van Getronics leidt Inter Access
- 16:26 Banometer: Vraag naar hoofd applicatiebeheerder
- 11:38 'Stoppen met BPO door Ordina is verstandig'
- 11:32 Banometer: Vooral vraag naar hoofd...
- 11:26 Apple raadt antimalware aan voor Mac
- 10:20 Tijdsplanning ICT-projecten rammelt
- 10:40 EU-bestrijding cybercrime is vijfjarenplan
Meer Security
Security 3.0: de nieuwste generatie beveiligingsoplossingen (klad)
Het gebeurt nog te veel dat ondernemingen zich slechts beveiligen tegen problemen die zich reeds hebben voorgedaan, waardoor er een onbetrouwbaar systeem van controls ontstaat. Deze whitepaper licht ontwikkelingen in beveiligingsoplossingen toe en gaat daarbij met name in op de nieuwste generatie...... Download nu
Security èn toegevoegde waarde met een goede secure desktop solution
De toegenomen mobiliteit van medewerkers en de bijbehorende wens om overal te kunnen communiceren, maar ook overheidsmaatregelen voor informatiemanagement compliceren de rol van IT-afdelingen. Deze whitepaper belicht geïntegreerde security-oplossingen die niet alleen hun primaire taak goed...... Download nu
Meer Security whitepapersComputable Events Security
Computable organiseert in 2008 weer verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:
SonicWALL beveiliging voor EBS en SBS
28-11 12:07 SonicWALL, specialist in de beveiliging van netwerkinfrastructuur, kondigt Email Security en Network Security Appliance voor Windows Small Business Server (SBS) en Essential...
Meer security productenTransparante systeemtoegang voor 17.000 UWV-medewerkers
16-07 11:15 Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...
Meer security praktijkLege stoelen bij Pinewood
13-11 09:48 Netwerk- en databeveiliger Pinewood groeit. Binnenkort betrekt het bedrijf een tweede etage in een kantoortoren aan de rand van Delft. Daar bevindt zich het zenuwcentrum van...
Meer security achtergrondECM onmisbaar in het 'nieuwe werken'
02-12 12:42 Het nieuwe werken wordt in steeds meer bedrijven toegepast. Mondiale intergratie, opkomst van de digitale revolutie, toenemende vergrijzing, continue connectiviteit en overheids-...
Meer security opinieBekijk de leveranciers op het gebied van Security.
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / IntermediairPW / HRbase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / InFinancieel.nl / IT Directory.nl / Marketingdirectory.nl / Computable / Emerce / CRN / Vnunet.nl / Tweakers.net / Koopinfo / Management Team / Sprout
Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © VNU Media
Beetje goede CGI,PERL,JAVA programmeur laat zijn eigen webserver script (1) eerst alle input parameters van zijn webfrontend checken of ze uberhaupt toegestaan zijn, (2)nog voordat ie zijn script ook maar iets laat uitvoeren.
Dit heet de "Defensie Programming Attitude(tm)", waarbij de programmeur/ coder (en geen point and click script kiddie) er By Default vanuit dat de gebruiker alle input kan ver**** bewust of onbewust. Pas als alle input binnen de gestelde grenzen zijn, dan gaat het script verder met de uitvoer ervan.
Oh ja das is handwerk, en geen template bakkerij ;-)
Simpel toch? Check first, execute code later.
XXS ellende is ook simpel op te lossen:
Installeer op je clients Firefox met NoScript. Valt er ook niks te crosscripten ;-)
# "Security is not found in tools"
# "Security is found in a programmers state_of_mind";