Nieuws
image

"PHP is recept voor problemen"

donderdag 24 mei 2012, 11:10 door Redactie, 13 reacties

Het gebruik van PHP, dat op 75% van de websites aanwezig is, is een recept voor problemen. "Als 75% van de webpagina's in PHP is gemaakt, wat ontworpen is om content te delen, dan komen we in de problemen", zegt Rob Rachwald, directeur bij Imperva. Hij wijst naar een aanval op een datingsite voor Amerikaanse militairen die eind maart plaatsvond. Daarbij werden de gegevens van 170.000 soldaten buitgemaakt.

Upload
De boosdoener was volgens Rachwald PHP, waardoor het mogelijk is om foto's en andere gebruikerscontent te uploaden. De aanvaller heeft in het geval van de datingsite een 'remote file inclusion' aanval uitgevoerd om zo toegang tot de webserver te krijgen. De aanvaller kan een bijvoorbeeld een .JPG-bestand hebben geüpload, dat in werkelijkheid geen afbeelding was, maar kwaadaardige code.

"Ze wisten een bestand te uploaden door het als een JPEG te vermommen." Vanwege het gebruik van PHP op allerlei sociale netwerksites en de neiging van eindgebruikers om teveel persoonlijke details over zichzelf prijs te geven, adviseert Rachwald soldaten om hun identiteit op het internet te verbergen.

Reacties (13)
24-05-2012, 11:13 door 0101
RFI is niet een probleem van PHP, maar van slecht programmeer- en testwerk.
24-05-2012, 11:17 door SirDice
Troll-statement eerste klas natuurlijk.

Natuurlijk zorgt PHP voor problemen, daarom worden er ook regelmatig duizenden sites gekraakt die ASP(X) draaien... Zucht.

Dit is het probleem: http://www.security.nl/artikel/41457/1/86%25_maatwerk_webapplicaties_kwetsbaar_voor_SQLi.html

En niet specifiek PHP, ASP, Ruby of weet ik veel wat.
24-05-2012, 11:24 door Anoniem
Damn, gewoon goed testen en programmeren.
Voor de rest gebruik ik nog de hiawatha webserver en banshee php framework.

http://www.hiawatha-webserver.org/
http://www.banshee-php.org/


Uitstekende beleving!
24-05-2012, 11:31 door [Account Verwijderd]
[Verwijderd]
24-05-2012, 11:40 door [Account Verwijderd]
[Verwijderd]
24-05-2012, 11:52 door Anoniem
Klets verhaal.
1 Programmeur
2 Hoeveel PHP sites (programmeren we websites in Java) hebben we?

Maar goed, Rob heeft zichzelf weer even weten te manifesteren.
24-05-2012, 12:03 door Anoniem
Krakatau, secunia levert info over de teller. Wat onder de streep staat weet je niet. Een nogal boude uitspraak dus.
24-05-2012, 12:13 door [Account Verwijderd]
[Verwijderd]
24-05-2012, 12:29 door Anoniem
Ja Krakatau, da's wel erg kort door de bocht van je. Ik ben het helemaal eens met Hugo
24-05-2012, 13:36 door SirDice
Door Krakatau:
Door SirDice: Troll-statement eerste klas natuurlijk.

Natuurlijk zorgt PHP voor problemen, daarom worden er ook regelmatig duizenden sites gekraakt die ASP(X) draaien... Zucht.

Dit is het probleem: http://www.security.nl/artikel/41457/1/86%25_maatwerk_webapplicaties_kwetsbaar_voor_SQLi.html

En niet specifiek PHP, ASP, Ruby of weet ik veel wat.
Toch wel:

http://secunia.com/community/advisories/search/?search=php

rapporteert maar liefst 10x zoveel PHP vulnerabilities (11314 stuks) dan Java (1169 stuks). Ook worden er 3x zoveel .NET vulnerabilities (3398 stuks) dan Java vulnerabilities gerapporteerd!
En als je het bericht goed leest zijn ze niet naar binnen gelopen door een fout in PHP maar door een fout in de web applicatie. Exact dezelfde fout kun je ook maken in ASP, Perl, Ruby, etc.
24-05-2012, 14:10 door [Account Verwijderd]
[Verwijderd]
24-05-2012, 14:19 door Anoniem
"ASP is recept voor problemen". Het gebruik van ASP, dat op 75% van de websites aanwezig is, is een recept voor problemen. "Als 75% van de webpagina's in ASP is gemaakt, wat ontworpen is om content te delen...... Bla bla ... Gaap...
24-05-2012, 14:55 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure