Security Professionals
- ipfw add deny all from eindgebruikers to any
Is dit ernstig?
11-04-2012, 00:34 door Anoniem, 7 reacties
Pas geleden is de website van de katholieke kerk gehackt als, op zich grappige <a href="http://www.trouw.nl/tr/nl/5091/Religie/article/detail/3234871/2012/04/02/Hackers-plaatsen-1-aprilgrap-op-website-rk-kerk.dhtml" target="_blank">1 aprilgrap</a>. De hacker meldde dat de website zo lek als een mandje was. Er kwam toen een hoop kritiek op de makers van die website, waaronder dus dit stuk:
<a href="http://www.katholieknieuwsblad.nl/opinie/item/1930-de-kerk-verdient-betere-websites.html" target="_blank">KLIK</a>
Ik moet zeggen dat de schrijver van dat stuk het heel aardig uitlegt, als complete n00b kan ik dat verhaal ook volgen. :P
Maar mijn vraag aan de experts hier is, klopt het ook wat hij zegt? Alshet klopt zijn er ongeveer 200 organisaties de dupe.
<a href="http://www.katholieknieuwsblad.nl/opinie/item/1930-de-kerk-verdient-betere-websites.html" target="_blank">KLIK</a>
Ik moet zeggen dat de schrijver van dat stuk het heel aardig uitlegt, als complete n00b kan ik dat verhaal ook volgen. :P
Maar mijn vraag aan de experts hier is, klopt het ook wat hij zegt? Alshet klopt zijn er ongeveer 200 organisaties de dupe.
Reacties (7)
11-04-2012, 10:49 door
SirDice
Wie naar de website van de Kerk kijkt met een technische bril zal zien dat de technologie waarmee deze website is gemaakt ASP heet. Ik verwacht niet dat die naam u iets zegt. Wat nuttig is om te weten is dat het hier een technologie betreft uit 1996. Dit is scherp gezegd de prehistorie van de internettechnologie.
Waarna ik min of meer al afhaakte...Het probleem is niet ASP, of de leeftijd daarvan. ASP is nog steeds relevant en wordt nog steeds ondersteund door Microsoft. Simpelweg stellen dat omdat het uit 1996 is het "verouderde technologie" is is wel heel kort door de bocht. Klaarblijkelijk vergeet de auteur voor het gemak dat TCP/IP (waar het hele internet op draait) nog veel ouder is.
Het gebruik van ASP ansich is niet het probleem, ook al doet de auteur z'n best om dat zo te laten lijken. Het probleem is ISI media geweest die niet goed met deze technologie om kan gaan. En zeker niet veilig daarin kan programmeren. Iets wat zeker goed mogelijk is met ASP, mits je weet wat je doet.
Als klap op de vuurpijl de "oplossing":
Er zijn een heleboel alternatieven. Een daarvan is Wordpress. Wordpress is een degelijk, gratis, open-source, content-management systeem, wat ruim voldoende is voor websites die alleen maar tekst bevatten.
Er worden dagelijks honderden, zo niet duizenden, websites gehackt die Wordpress draaien. Heel wat meer dan sites die ASP gebruiken. Maar dat lijkt hij niet te weten.
11-04-2012, 11:04 door
S-q.
@SirDice: Kompliment.
Maar de schrijver van het commentaar richt zich niet alleen op zijn persoonlijke opvatting omtrent de gebruikte technologie, maar vooral ook op de maker van de website.
Die mag hij -professioneel gezien- niet!
Wat ik even niet begrijp is dat SirDice stelt dat ASP wel wordt ondersteunt door MS, maar dat het commentaar zegt dat dit niet zo is voor wat betreft de gebruikte versie. (?)
Maar de schrijver van het commentaar richt zich niet alleen op zijn persoonlijke opvatting omtrent de gebruikte technologie, maar vooral ook op de maker van de website.
Die mag hij -professioneel gezien- niet!
Wat ik even niet begrijp is dat SirDice stelt dat ASP wel wordt ondersteunt door MS, maar dat het commentaar zegt dat dit niet zo is voor wat betreft de gebruikte versie. (?)
11-04-2012, 11:17 door
Overcome
Laat ik het zo stellen: hij doet wel heel erg zijn best om een bepaalde richting op te praten. Er kan vrij eenvoudig wat tegengas worden gegeven:
(1) De schrijver verwijst naar de OWASP pagina. Op die pagina staat echter een belangrijke zin die hij niet in zijn artikel noemt: "There are several issues inherent to classic ASP pages that may lead to security issues. We are talking about beginner mistakes or code misuse." Oftewel, als je weet wat je doet, hoeven de ASP design problemen geen nadelige effecten te hebben voor een website, zeker niet als je beseft dat de rkkerk website voornamelijk tekst bevat, zoals de auteur zelf aangeeft.
(2) Het beveiligingsprobleem dat hij in de sendbinary.asp file aantrof heeft niets met ASP te maken. Het heeft te maken met gebrekkige input filtering. Dara kun je de website bouwer inderdaad op afrekenen. Als de richtlijnen waren gevolgd zoals aangegeven op http://msdn.microsoft.com/en-us/library/ms525813(v=vs.90).aspx was er niets aan de hand geweest.
(3) Er is nog steeds support op ASP geleverd, zoals http://www.hanselman.com/blog/LifecycleSupportForClassicASPInWindows.aspx ook aangeeft.
(4) Verwijzingen naar buffer overflow of SQL injection in het artikel staan los van ASP. Die aanvalsvectoren zijn het gevolg van het niet beveiligingsbewust (kunnen) programmeren van de site door Isimedia.
Dat de schrijver van het artikel de titel "adviseur" in twijfel trekt, doordat de website maker geen apps op zijn naam heeft staan, vind ik wel erg kort door de bocht. Sinds wanneer moet een adviseur apps maken om de titel "adviseur" te verdienen? Staat er op zijn website dat hij apps maakt? Nee. De schrijver van het artikel bekijkt de situatie een beetje teveel vanuit zijn eigen perspectief als programmeur. Hij heeft een valide punt dat de veiligheid slecht is. Onderbouwde redenen dat een eenvoudige en veilige website niet in ASP gemaakt kan worden heb ik helaas niet gezien.
(1) De schrijver verwijst naar de OWASP pagina. Op die pagina staat echter een belangrijke zin die hij niet in zijn artikel noemt: "There are several issues inherent to classic ASP pages that may lead to security issues. We are talking about beginner mistakes or code misuse." Oftewel, als je weet wat je doet, hoeven de ASP design problemen geen nadelige effecten te hebben voor een website, zeker niet als je beseft dat de rkkerk website voornamelijk tekst bevat, zoals de auteur zelf aangeeft.
(2) Het beveiligingsprobleem dat hij in de sendbinary.asp file aantrof heeft niets met ASP te maken. Het heeft te maken met gebrekkige input filtering. Dara kun je de website bouwer inderdaad op afrekenen. Als de richtlijnen waren gevolgd zoals aangegeven op http://msdn.microsoft.com/en-us/library/ms525813(v=vs.90).aspx was er niets aan de hand geweest.
(3) Er is nog steeds support op ASP geleverd, zoals http://www.hanselman.com/blog/LifecycleSupportForClassicASPInWindows.aspx ook aangeeft.
(4) Verwijzingen naar buffer overflow of SQL injection in het artikel staan los van ASP. Die aanvalsvectoren zijn het gevolg van het niet beveiligingsbewust (kunnen) programmeren van de site door Isimedia.
Dat de schrijver van het artikel de titel "adviseur" in twijfel trekt, doordat de website maker geen apps op zijn naam heeft staan, vind ik wel erg kort door de bocht. Sinds wanneer moet een adviseur apps maken om de titel "adviseur" te verdienen? Staat er op zijn website dat hij apps maakt? Nee. De schrijver van het artikel bekijkt de situatie een beetje teveel vanuit zijn eigen perspectief als programmeur. Hij heeft een valide punt dat de veiligheid slecht is. Onderbouwde redenen dat een eenvoudige en veilige website niet in ASP gemaakt kan worden heb ik helaas niet gezien.
11-04-2012, 12:25 door
SirDice
Door S-q.: Wat ik even niet begrijp is dat SirDice stelt dat ASP wel wordt ondersteunt door MS, maar dat het commentaar zegt dat dit niet zo is voor wat betreft de gebruikte versie. (?)
Ik heb verder niet naar de site in kwestie gekeken. Ik ben puur afgegaan op het commentaar. En daar schortte het nodige aan.Uiteraard moet je zorgen dat je de laatste patches hebt. Als ik heel snel even kijk draaien ze IIS 6.0. Dat is onderdeel van Windows 2003 en dat wordt toch nog steeds ondersteund. Ik zie dan ook niet zo snel die "verouderde technologie".
Saillant detail, WordPress is geschreven in PHP en dat is vergelijkbaar met ASP (niet helemaal maar voor het argument wel). PHP is begonnen in 1995 en is dus feitelijk ouder dan ASP. "Prehistorische internettechnologie" aldus Ing. Erwin Christiaan Frederic Wolff. Beetje raar dat'ie dat dan als alternatief noemt.
11-04-2012, 13:18 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
