"70% van alle websites direct te hacken"
Bijna 70% van alle websites op het internet loopt gevaar om direct gehackt te worden, zo blijkt uit onderzoek. De kwetsbare websites hebben te maken met ernstige en zeer ernstige beveiligingslekken, die zeer waarschijnlijk door hackers ontdekt en misbruikt worden. Aanvallers kunnen de lekken misbruiken voor bijvoorbeeld het stelen van vertrouwelijke informatie.
Bij 91% van deze websites werd problemen zoals SQL injectie en Cross-Site Scripting aangetroffen, maar ook minder gevaarlijke zaken zoals "local path disclosure" en "directory listing" komen voor. Gemiddeld werden er 66 lekken per website gevonden, waardoor het totaal voor 3200 onderzochte sites op 210.000 kwam.
Vijftig procent van de websites is kwetsbaar voor SQL injectie, en 42% heeft te maken met Cross-Site Scripting. Andere ernstige problemen die werden aangetroffen bestaan uit Blind SQL Injection,CRLF Injection, HTTP response splitting en "script source code disclosure".
"De resultaten laten duidelijk zien dat het probleem van onveilige webapplicaties compleet genegeerd worden" zegt Kevin Vella van Acunetix.
Dit is geen nieuws maar reclame voor een veel te duur product!
Is dit niet een klein beetje overdreven? Op het laatst wordt pas een
bedrijfsnaam genoemd. Reclame? Nou nee.
Dit is geen nieuws maar reclame voor een veel te duur product!
Is dit niet een klein beetje overdreven? Op het laatst wordt
pas een
bedrijfsnaam genoemd. Reclame? Nou nee.
eerst bang maken voor een groot gevaar en ze dan de helpende
hand bieden. En achteraf met allerlei nuancering komen, van
"het viel eigenlijk wel mee."
Waarschijnlijk gebruiken ze hetzelfde reclamebureau die deze
truc goed weet uit te venten.
Dit is geen nieuws maar reclame voor een veel te duur product!
Is dit niet een klein beetje overdreven? Op het laatst wordt pas een
bedrijfsnaam genoemd. Reclame? Nou nee.
Nee, acunetix is het meest achterlijke product ooit. Met reclames
als "STAAT UW POORT 80 WIJD OPEN?!?!!?" proberen ze de gewone man
bang te maken. Kom op mensen, webapp vulns zijn d'r idd veel, maar
acunetix vind d'r nog geen 3..
Moet wel zeggen dat vooral php sites vaak lek zijn.
product!
Straks kan je alles wel reclame noemen...
ze maar even) informatie krijgen via SQL injection. Ja, ik
weet dat je bijv met ' en " een query afsluit en je met ; en
daarachter weer een query een query kan laten uitvoeren.
Maar hoe kunnen ze daar dan gebruik van maken om informatie
uit de database te krijgen, of je database schade aan te
richten zonder dat ze het datamodel kennen? Zou iemand dat
mij kunnen uitleggen, dan heb ik meer informatie om alles
tegen te gaan en begrijp ik er wat meer van.
Februari 2007... een survey van 3200 sites (nog niet eens 1
procent van het geheel!) lijkt mij dan niet echt
representatief, iets wat elk onderzoek dient te zijn!
-Jeroen
niet worden benoemd.
maar eens te onderscheiden op dit gebied. De scripters
snappen het al niet, hoe leg je het een klant uit? Vooral als ze
komen met argumenten als "Wat valt er nou op mijn website te
hacken?"
Dit artikel wijst er alleen op dat 't niet voldoende gebeurd.
Laat me dan toch eens reclame maken voor een goed
open-source produkt op dit gebied: mod_security voor Apache
http://www.modsecurity.org/
Als 't nix kost is 't toch geen reclame? ;-)
Er zijn tal van mogelijkheden een website te beveiligen.
Dit artikel wijst er alleen op dat 't niet voldoende gebeurd.
Laat me dan toch eens reclame maken voor een goed
open-source produkt op dit gebied: mod_security voor Apache
http://www.modsecurity.org/
Als 't nix kost is 't toch geen reclame? ;-)
Als het Open Source betreft heet het toch advocacy?
Als het Open Source betreft heet het toch advocacy?
Wijsneus!
Mameomowskwooz? Dat is best een veilige login naam, maar typ je die
iedere keer in als je in logt of sla je dat op in je browser user/pw
manager? :)
Was getekend,
Koosalagoosagoop
Maakt 42% van de websites gebruik van te beinvloeden parameters?
sql injection vulnerability in hun knowledge base had?
ik begrijp nog steeds niet goed hoe 'scriptkiddies' (noem ik
ze maar even) informatie krijgen via SQL injection. Ja, ik
weet dat je bijv met ' en " een query afsluit en je met ; en
daarachter weer een query een query kan laten uitvoeren.
Maar hoe kunnen ze daar dan gebruik van maken om informatie
uit de database te krijgen, of je database schade aan te
richten zonder dat ze het datamodel kennen? Zou iemand dat
mij kunnen uitleggen, dan heb ik meer informatie om alles
tegen te gaan en begrijp ik er wat meer van.
is te lezen?
Daarin wordt gesteld dat gem 70% van de aangeboden problemen
heeft. M.a.w. er wordt gebruik gemaakt van een vrije dienst om te
controleren of de gemaakte websites nog problemen hebben. En dat
gratis en voor niets.
Niet alleen 'wij' nederlanders zijn wel voor ziets te porren. Wat dat betreft is
het aantal van 10.000 aangeboden websites erg laag.
Het is uit het bericht niet te achterhalen of het om live websites gaat of om
ontwikkel websites.
"Dit is puur sensatie en onzin", reageert
beveiligingsexpert Joel Snyder. Het Amerikaanse
beveiligingsbedrijf Acunetix stelt 3200 websites te hebben
gescand en ontdekte naar eigen zeggen gemiddeld 66 fouten
per gescande website. "Geef mij de lijst van 3200 websites",
reageert Snyder, "Ik kies er tien uit en dan mogen zij data
stelen van die tien sites. Tevens mogen zij zeven van de
tien hacken (om zo op de 70 procent uit te komen."
De onderzoekers van Acunetix stellen dat de kans groot is
dat hackers de problemen ontdekken en zullen uitbuiten.
Snyder ontkent niet dat er problemen zijn bij websites. Het
percentage is volgens hem echter zwaar overdreven. Daarnaast
heeft het merendeel van de 'onveilige' sites geen data die
de moeite van het stelen waard is. Acunetix heeft inmiddels
op Snyder gereageerd en is bereid de weddenschap aan te
gaan.
ik begrijp nog steeds niet goed hoe 'scriptkiddies' (noem ik
ze maar even) informatie krijgen via SQL injection. Ja, ik
weet dat je bijv met ' en " een query afsluit en je met ; en
daarachter weer een query een query kan laten uitvoeren.
Maar hoe kunnen ze daar dan gebruik van maken om informatie
uit de database te krijgen, of je database schade aan te
richten zonder dat ze het datamodel kennen? Zou iemand dat
mij kunnen uitleggen, dan heb ik meer informatie om alles
tegen te gaan en begrijp ik er wat meer van.
heb t een aantal keer meegemaakt, wat ik gezien heb is dat ze via hele vage
, lange strings op een of andere manier via een irc proxy prog. binaries
overpompen en die, ook middels sql injections alszijnde de user waarmee
de webserver draait uitvoeren. dit kan dan een mailserver zijn die spam
verstuurt of een irc - zombie die wacht op commands vanuit een irc bot. ook
heb ik scripts aangetroffen waaruit bleek dat er geprobeerd was root
privileges te verkrijgen. er was toen pas 1 dag een lek ontdekt in een php
app en t was al zover. voortaan let ik beter op!
+/- 70% van de websites draait apache...
Goh...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
