97 procent websites ernstig lek
Bijna alle websites op het internet hebben tenminste met één ernstig beveiligingslek te maken, zo blijkt uit onderzoek van het Web Application Security Consortium (WASC). De meest voorkomende problemen zijn Cross-Site Scripting, het lekken van informatie, SQL Injectie en voorspelbare locaties van "resources". Het aantal is gebaseerd op een scan van 32.000 websites, zowel via automatische tools als white en black-box scans. In totaal ontdekten de onderzoekers 70.000 beveiligingslekken. Beveiligingsexperts zijn verbaasd over het aandeel van SQL-injectie. "Ik had gedacht dat SQL-injectie een groter aandeel zou hebben. Hoewel de statistieken laten zien dat het aantal afneemt ten opzichte van voorgaande jaren, moet men deze aanval, en alle vormen van injectie in het algemeen, blijven bestrijden," zegt Raul Siles van het ISC.
Beveiligingsexpert Jeremiah Grossman waarschuwt om niet teveel naar de cijfers te kijken. "Het is het beste om deze rapporten gewoon te zien voor wat ze zijn, waar het werkelijke aantal en soort beveiligingslekken onbekend is. Er zijn bepaalde onnauwkeurigheden, zoals met CSRF, maar het geeft ons tenminste iets om mee te werken."
Het rapport vergelijkt ook test methoden om problemen binnen websites te vinden. Het gebruik van black box en white box scans levert meer autorisatie, authenticatie en logische lekken op. Daarnaast hebben deze scans 12,5 keer meer kans om een ernstig lek te vinden dan met een geautomatiseerde scan het geval is.
Een paar mensen die ik ken, hebben al geroepen dat ze in ieder geval hier niet meer gaan reageren en de berichten van security.nl worden voortaan voor kennisgeving aangenomen. Men trekt zich er niets meer van aan. Enkelen hebben security.nl inmiddels vaarwel gezegd. Zou dat nou de bedoeling zijn?
O en ehhh... reageer hier maar niet op, want dat worden toch venijnige reacties en daar heb ik geen zin in. Verdere reacties zal ik dan ook niet lezen.
Zoals zo vaak denkt men pas achteraf aan Security en dan moet dat even toegevoegd worden. In feite is men dan al te laat. Dat jouw Windows systeem dan wel systemen niet zo een last hebben, komt doordat jij en vele anderen weten wat ze doen op een Operating System. Echter weten jij en ik dat de gewone thuisgebruiker het nodige kennis nogal vaak mist.
Verder zwijgt men hier weer in alle talen over de nieuwste rotzooi met iTunes. Lees maar eens op ZDNet, wat nou ook niet direct een Microsoftvriend genoemd kan worden: http://www.zdnet.nl/news.cfm?id=91109
Overigens kwam ik hier toch weer vanwege commentaar van een van mijn kennissen die het helemaal gehad heeft met security.nl, dus zag ik jouw reactie. Maar verder zoekt iedereen het maar uit. Eerst maar eens een wat objectievere opstelling. Eerde en Renéetje zullen wel blij zijn dat die stomme hond van een Nomen Nescio min of meer de pijp aan Maarten geeft hier.
Daarom zegt Beveiligingsexpert Jeremiah Grossman dat men niet teveel naar de cijfers te kijken. "Het is het beste om deze rapporten gewoon te zien voor wat ze zijn, waar het werkelijke aantal en soort beveiligingslekken onbekend is.
Nomen Nescio probeert hier weer op een goedkope manier de aandacht van het echte onderwerp af te leiden, en te verplaatsen naar de discussie over Windows' onveiligheid. Zoals SirDice ook al terecht opmerkte. De gemiddelde kwaliteit van de reacties hier kan alleen maar hoger worden als Nomen Nescio en aanhang hier niet meer reageren. Dus de toekomst ziet er zonnig uit :)
Of neem een Linux server (met LAMP-stack) en leer hoe je met beveiliging moet omgaan, daar heb je jaar in jaar uit plezier van en kost alleen wat tijd.
Ik kan CentOS aanraden.
Daarom zegt Beveiligingsexpert Jeremiah Grossman dat men niet teveel naar de cijfers te kijken. "Het is het beste om deze rapporten gewoon te zien voor wat ze zijn, waar het werkelijke aantal en soort beveiligingslekken onbekend is.
Nomen Nescio probeert hier weer op een goedkope manier de aandacht van het echte onderwerp af te leiden, en te verplaatsen naar de discussie over Windows' onveiligheid. Zoals SirDice ook al terecht opmerkte. De gemiddelde kwaliteit van de reacties hier kan alleen maar hoger worden als Nomen Nescio en aanhang hier niet meer reageren. Dus de toekomst ziet er zonnig uit :)
Nog maar weer een keer.... Wat heeft MS of Linux met dit onderwerp te maken? Op beide systemen kun je brakke websites bouwen. En dat is waar dit artikel over gaat.
Yep, is ook wel handig.
Nog maar weer een keer.... Wat heeft MS of Linux met dit onderwerp te maken? Op beide systemen kun je brakke websites bouwen. En dat is waar dit artikel over gaat.
Nog maar weer een keer.... Wat heeft MS of Linux met dit onderwerp te maken? Op beide systemen kun je brakke websites bouwen. En dat is waar dit artikel over gaat.
Clients die geinfecteerd raken na het bezoeken van zo'n website zijn symptomen, geen oorzaak.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
