image

SQL-injectie viert elfde verjaardag

woensdag 23 december 2009, 14:29 door Redactie, 10 reacties

Op eerste kerstdag is het precies 11 jaar geleden dat SQL-injectie wereldkundig werd gemaakt, maar een decennium later is het nog altijd een zeer groot probleem voor websites. Het begon met het artikel "NT Web Technology Vulnerabilities", dat op 25 december 1998 in het hackermagazine Phrack verscheen. Via SQL-injectie kan een aanvaller toegang tot normaliter afgeschermde databases krijgen en die willekeurige opdrachten laten uitvoeren. Veel grootschalige creditcarddiefstallen vinden via deze techniek plaats. De oorzaak is dat invoer van gebruikers niet goed wordt gecontroleerd.

Sinds 1998 heeft SQL-injectie een enorme ontwikkeling doorgemaakt, waarbij het met name de laatste jaren zeer in trek bij cybercriminelen is. "Dit probleem is al 11 jaar aanwezig. Maar pas in de laatste anderhalf jaar hebben cybercriminelen ontdekt hoe ze het op grote schaal kunnen gebruiken om in principe geld te stelen", zegt Tom Cross van IBM's X-Force Research. Ging het in mei 2008 nog om 5.000 SQL-injecties per dag, inmiddels is dat tot 600.000 per dag opgelopen. De explosieve toename wordt voornamelijk veroorzaakt door aanvallers die geautomatiseerde tools gebruiken om kwetsbare websites te vinden en te misbruiken.

Features
De voornaamste reden volgens Cross waarom webontwikkelaars zoveel moeite met het voorkomen van SQL-injectie hebben, is omdat ze zich voornamelijk op een goede gebruikerservaring richten. Zelfs de grootste ondernemingen missen lekken, waardoor het geen verrassing is dat ook kleinere organisaties met minder middelen over lekke applicaties beschikken. Toch heeft Cross ook goed nieuws te melden. Het aantal SQL-injectie aanvallen nam in de eerste helft van 2009 toe, maar het aantal SQL-injectie lekken nam af, wat suggereert dat bedrijven het probleem serieus nemen.

"Er zijn veel features in de meeste moderne databases die of misbruikt kunnen worden om willekeurige code uit te voeren, of gebruikt kunnen worden om de database te beschermen. Uiteindelijk komt het erop neer welke database je gebruikt, welke features die heeft en hoe goed je die features toepast."

Reacties (10)
23-12-2009, 14:46 door d.lemckert

maar een decennium later is het nog altijd een zeer groot probleem voor websites

Nee hoor, websites hebben er geen enkel probleem mee. Die verwerken het gewoon lachend.

Programmeurs! die hebben er nog steeds problemen mee. Omdat ze NOG STEEDS NIET aan fatsoenlijke input sanitation doen. 11 jaar na dato is er dus nog niks veranderd in de bedrijven.

Pay peanuts. Get monkeys.

'nuff said
23-12-2009, 16:23 door Syzygy
Ik weet het nog precies,
Ik kwam met twee vrienden uit het Oosten en ik zag in de verte een grote Ster glinsteren.
We reden er op af en pal onder die ster zagen een schuurtje, het was eigenlijk meer een oude stal.
In die stal zat een stelletje, die het duidelijk niet zo breed hadden, om een oud PC'tje heen.
Ik keek op het beeldscherm en daar was het .....................

..........de geboorte van de eerste SQL Injectie
23-12-2009, 16:26 door Anoniem
Door d.lemckert: (...)
11 jaar na dato is er dus nog niks veranderd in de bedrijven.

Pay peanuts. Get monkeys.

'nuff said
Het gaat niet om peanuts, het gaat niet om blind zijn voor risico's, het gaat niet om gebrekkige security awareness, het gaat niet om al dat andere wat steeds herhaald wordt.

Het gaat om de deadline.
Door een willekeurige IT-manager die de deadline voelt naderen: Laten we er eerst maar voor zorgen dat het werkt, daarna gaan we ons wel druk maken om security.
"Daarna" komt nooit, want dan is de deadline verstreken. Wat heeft hij liever, een niet-werkend product dat niet te hacken is of een goed werkend product dat wel te hacken is?
23-12-2009, 16:26 door spatieman
zijn naam...
Jezus SQL christus..
23-12-2009, 17:04 door Anoniem
Pas 11 jaar geleden? Volgens mij werd dit al ruim voor 1998 misbruikt...
23-12-2009, 17:18 door SirDice
Door Anoniem: Het gaat niet om peanuts, het gaat niet om blind zijn voor risico's, het gaat niet om gebrekkige security awareness, het gaat niet om al dat andere wat steeds herhaald wordt.
Uitzonderingen daar gelaten maar het gros van de web developers heeft bar weinig security kennis. Er zitten er zelfs tussen die niet eens begrijpen hoe HTTP of TCP/IP werkt x(

Het gaat om de deadline.
Door een willekeurige IT-manager die de deadline voelt naderen: Laten we er eerst maar voor zorgen dat het werkt, daarna gaan we ons wel druk maken om security.
"Daarna" komt nooit, want dan is de deadline verstreken. Wat heeft hij liever, een niet-werkend product dat niet te hacken is of een goed werkend product dat wel te hacken is?
Het probleem is vervolgens ook dat beveiliging van je website niet iets is wat je er zo even tegenaan schroeft. Het moet een intergraal deel zijn anders werkt het niet.
23-12-2009, 17:25 door SirDice
Door Anoniem: Pas 11 jaar geleden? Volgens mij werd dit al ruim voor 1998 misbruikt...
Elf jaar geleden werd er voor het eerst over geschreven. Het is niet zo dat dit probleem vanaf dat moment pas bestond of mogelijk was. Het truukje is al veel ouder.
24-12-2009, 09:40 door Anoniem
Tip voor alle mensen die hier toch alleen maar komen bitchen op elk nieuws artikel:
Neem een accountje op een website als Geenstijl, Fok.nl of misschien de telegraaf, daar deelt iedereen jullie visie.
En bespaar me de "Dit is toch humor" reacties.
24-12-2009, 10:32 door Anoniem
http://xkcd.com/327/

En eentje van eigen bodem ;)
"fouten verifieer je niet met een "; DROP DATABASE" commando. " Arnoud Engelfriet (Security.nl)
26-12-2009, 20:31 door Anoniem
gefeliciteert
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.