Top10 aanvalsvectoren voor Web 2.0
Web 2.0 is de term voor een nieuwe generatie web applicaties, zoals Google maps, MySpace en YouTube om een aantal voorbeelden te noemen. De "technologische transformatie" die achter Web 2.0 zit brengt nieuwe beveiligingsproblemen en aanvalsvectoren met zich mee. Wat te denken van de Samy en Yamaner wormen die "client-side" AJAX frameworks misbruikten of andere manieren waarop Rich Internet Application frameworks draaiend op XML, XUL, Flash, Applets en JavaScript helpen bij het aanvallen van een systeem.
Dit artikel geeft een overzicht van de Top10 aanvalsvectoren voor Web 2.0, te weten:
1. Cross-site scripting in AJAX
2. XML poisoning
3. Malicious AJAX code execution
4. RSS / Atom injection
5. WSDL scanning and enumeration
6. Client side validation in AJAX routines
7. Web services routing issues
8. Parameter manipulation with SOAP
9. XPATH injection in SOAP message
10. RIA thick client binary manipulation
(ja. . 'web 2.0' is niets anders dan een hype woord)
een gewoon lijstje met gewone kwetsbaarheden over, die we al
sinds jaar en dag kennen. Maar ja, dat heeft natuurlijk geen
nieuwswaarde.
Wat is er mis met HTML ?
Niemand die om veel meer zit te wachten.
stenetijdperk ?
Wat is er mis met HTML ?
Niemand die om veel meer zit te wachten.
dat is toch wel heel overdreven hoor, natuurlijk slaan
sommige sites door met nieuwe technieken. maar met puur html
heb je gewoon niet genoeg mogelijkheden.
aanduiden, maar meer infrastructuur gericht moet zijn. (Of
beide)
IPv6, mesh networking internet enzo. Licht onder de zee ipv
elektronen. Dat soort. En niet te vergeten, beveiliging van
dit alles.
Van mij hoeft het ook niet allemaal compatible te zijn met
elkaar. Het zou mij niet eens verbazen als er een fysieke
scheiding komt tussen 'Web 2.0' en 'Web 1.0'. (Ik realiseer
mij natuurlijk wel dat dit waarschijnlijk niet mogelijk zal
zijn. Ik ben geestelijk nog wel enigsinds in orde ;) )
En meer dan HTML is wel degelijk nodig. Je kan niet de
huidige winkels, informatiestands en dergelijke naar het
internet verplaatsen zonder dynamische technieken zoals XML.
HTML is daarnaast ook niet veiliggenoeg. En heb je wel eens
een database achter HTML staan zonder ASP if PHP?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
