Mysterie van 100.000 gehackte websites opgelost
Onderzoekers hebben eindelijk ontdekt hoe begin januari meer dan 100.000 websites werden gehackt. Het was al bekend dat de sites slachtoffer van een automatische SQL injectie aanval waren geworden, hoe de aanval precies werkte en welke tools de aanvallers gebruikten was nog altijd onduidelijk. De aanvallers zochten via zoekmachines naar lekke applicaties en via een SQL statement werd dan op elke HTML pagina van de website een script geïnjecteerd. Dit script linkte weer naar een pagina met een exploit voor Windows en Real Player.
Gisteren ontdekten onderzoekers een website waar een kwaadaardig JavaScript bestand met verschillende exploits werd gehost. Tussen de exploits vonden ze ook het bestand waarmee de aanvallers de site wisten te hacken. De tool, die in het Chinees was, laat gebruikers de te injecteren code bepalen. Via Google en een ingebouwde browser van bsalsa wordt naar kwetsbare pagina's gezocht. Eenmaal gevonden voert de tool de SQL injectie uit en plaatst het kwaadaardige script. De onderzoekers sluiten dan ook af met een waarschuwing voor webmasters. "Controleer je applicaties en zorg dat ze niet lek zijn."
lijken ze erg gedreven te zijn ;-)
SQL - hartstikke veilig, want niet van Microsoft afkomstig;
Niet van Microsoft afkomstig, ja dat kan als het mysql is maar je hebt ook nog
mssql hoor
SQL is Structured Query Language
SQL - hartstikke veilig, want niet van Microsoft
afkomstig;
applicatie die geen goede inputverificatie heeft.
SQL - hartstikke veilig, want niet van Microsoft afkomstig;
Wat jouw dwars? Wil je er over praten jongen?
waarschuwing voor webmasters. "Controleer je applicaties en
zorg dat ze niet lek zijn."
uitspraken waar ik koppijn van krijg. Dit is namelijk de
eerste basis regel van sofware onwikkeling.
SQL - hartstikke veilig, want niet van Microsoft
afkomstig;
Als een ander alles van m$ rommel noemt zonder het te
onderbouwen noem je het leuterverhalen, er word wel eens
gezegd 'kijk eerst naar jezelf en dan naar een ander'.
En de reden dat het onveilig is omdat het niet van m$ is
slaat nergens op want hun maken ook onveilige producten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
