image

SQL-injectie favoriete wapen hackers

woensdag 25 februari 2009, 13:31 door Redactie, 9 reacties

Het bekladden van websites, vaak vanuit ideologisch oogpunt, was de favoriete bezigheid van "hackers" in 2008, zo blijkt uit cijfers van de Web Hacking Incidents Database. De database hanteert strenge eisen voor het opnemen van incidenten, waardoor het overzicht en het aantal aanvallen mogelijk niet overeenkomt met de werkelijkheid. Zo werden er vorig jaar 57 incidenten vermeld, ten opzichte van 49 een jaar eerder. Defacements, het achterlaten van een boodschap of afbeelding, is de voornaamste reden (24%) om websites te hacken. Het stelen van vertrouwelijke gegevens is met 19% een goede tweede en het planten van malware is met zestien procent derde.

Om toegang tot de website of vertrouwelijke informatie te krijgen passen aanvallers in de meeste gevallen (30%) SQL-injectie toe. Cross-site scripting (XSS) mag dan vaker op websites aanwezig zijn, de database richt zich alleen op echte incidenten. Uit het overzicht blijkt dat XSS bij slechts acht procent van de aanvallen werd gebruikt. In veel gevallen (29%) is het niet bekend hoe de website is gekraakt is of maakt de getroffen partij dit niet bekend.

"Financieel gewin mag dan een belangrijk motief voor hackers zijn, ideologische hackaanvallen mogen niet genegeerd worden", zo stellen de onderzoekers. Die zagen dat overheidsinstanties het vaakst met defacements te maken kregen, terwijl hostingproviders vaker het doelwit van "hacking for profit" zijn. Wat betreft financiële instellingen zoals banken concludeert het rapport dat die vaker openheid van zaken geven of daadwerkelijk vaker worden aangevallen. Last but zeker not least blijkt dat aanvallers nog steeds oude vertrouwde technieken gebruiken, ook al ontdekken onderzoeker tal van nieuwe technieken. Daarnaast worden aanvallers steeds beter in het automatiseren van hun aanvallen.

Reacties (9)
25-02-2009, 13:52 door Anoniem
is XXS niet een vorm van SQL-injection?
25-02-2009, 14:16 door Anoniem
wat is er met de tijd gebeurd dat een AK-47 nog enige indruk maakte ?
25-02-2009, 15:56 door Anoniem
Door Anoniemis XXS niet een vorm van SQL-injection?

Nee, niet direct.

Een XSS is waarbij je html, js & andere browser code om een pagina kan reflecteren zodat deze word uitgevoerd in de browser van een potentieel slachtoffer. Deze XSS kan in een databank opgeslagen worden, maar is daarom nog niet sql injection

SQL injection is daarentegen echt bedoelt om aangepaste SQL queries uit te voeren op de databank met de credentials van de applicatie.
25-02-2009, 16:09 door Anoniem
XSS is HTML/javascript injectie -> browser is kwetsbaar niet de server zelf
SQL injectie -> de database is kwetsbaar je kunt queries op uitvoeren
25-02-2009, 17:02 door Anoniem
Door Anoniemis XXS niet een vorm van SQL-injection?
2x fout
25-02-2009, 19:44 door Anoniem
Is er een goeie tool om te testen of je website een injection bevat?
26-02-2009, 07:43 door [Account Verwijderd]
[Verwijderd]
26-02-2009, 13:55 door Anoniem
Firefox plugin SQL Inject ME: https://addons.mozilla.org/nl/firefox/addon/7597
27-02-2009, 19:53 door Anoniem
Hoi,

en het bijzondere is dat de meeste bedrijven denken dat je met een gewone firewall of ips dit soort zaken kunt blokkeren.

Wil je trouwens meer weten, kijk op www.owasp.org, een organisatie die zich bezighoud met dit soort zaken en ook aangeeft hoe je dit kunt oplossen.

Er zijn ook specifieke oplossingen om dit soort bedreigingen tegen te gaan,. Genaamd: Web Application Firewall. Een goede web application firewall biedt bescherming tegen XSS / SQLi en CSRF door middel van een dynamische whitelist van de applicatie. Negative security model werkt niet tegen SQLi omdat hiervoor geen filters(signatures) gemaakt kunnen worden.

Tools om je website te scannen: Nikto / Paros Proxy, en de betaalde: IBM Appscan / HP Webinspect.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.