image

'Joomla en Drupal nieuwe doelwit hackers'

donderdag 15 november 2012, 13:47 door Redactie, 11 reacties

Contentmanagementsystemen (CMS) zoals Joomla, Drupal en phpWind zullen volgend jaar het nieuwe doelwit van hackers worden. Via een CMS is het eenvoudig om websites te beheren en bij te werken. Vanwege het grote gebruiksgemak draaien miljoenen websites op een CMS. Dit jaar werden al duizenden websites gehackt met het CMS WordPress.

De gratis blogsoftware is zeer populair, maar gebruikers vergeten regelmatig beveiligingsupdates te installeren, waardoor aanvallers het blog kunnen overnemen. Ook worden kwetsbare plug-ins geïnstalleerd, die aanvallers de mogelijkheid geven om via het gehackte blog of website malware te verspreiden.

Nadat dit jaar WordPress op grote schaal werd aangevallen, is het volgend jaar de beurt aan Joomla, Drupal en phpWind, voorspelt beveiligingsbedrijf Websense.

Doordat deze CMSen steeds populairder worden, zullen aanvallers ook naar kwetsbaarheden in deze software zoeken.

Reacties (11)
15-11-2012, 14:53 door tegenlicht
Joomla is zeker al een doelwit. Misschien nog meer dan Wordpress. Als je een joomla site hebt die je niet update, kun je er vanuit gaan dat deze binnen korte tijd wordt gehackt.
15-11-2012, 15:07 door Anoniem
@tegenlicht Wat een ONZIN! ook met een up-to-date cms kun je worden gehackt.
15-11-2012, 15:12 door SirDice
Contentmanagementsystemen (CMS) zoals Joomla, Drupal en phpWind zullen volgend jaar het nieuwe doelwit van hackers worden.
Nieuw? Daar wordt al een paar jaar op gescant hoor.
15-11-2012, 17:52 door Anoniem
Bij Websense hebben ze geloof ik een paar jaar onder een steen geleefd.
15-11-2012, 20:48 door [Account Verwijderd]
[Verwijderd]
15-11-2012, 23:21 door Anoniem
Probleem is bij Joomla iig dat het een slechte naam krijgt door gebruikers die nooit updaten. Zelf gebruik ik dit CMS al sinds Mambo en heb *klopt af op hout* nog nooit veiligheidsproblemen gehad. Gewoon altijd na een weekje na de update zelf gaan updaten (op die manier voorkom je een update installeren waar nog een foutje in zit) en de extensies regelmatig nalopen.

Tegenwoordig kan je in de backend van Joomla zelf al updates van Joomla en van de extensies/templates vinden en installeren.
16-11-2012, 00:56 door Anoniem
zolang je niet regelmatig zelf je sw gaat updaten wordt je vroeg of laat een vogel voor de kat.
eigen schuld dikke bult.

kom dus niet nadien janken

enough said.
16-11-2012, 01:03 door Anoniem
Op basis van welke gegevens impliceer je dat Joomla cs geen aandacht hebben voor beveiliging? Nogal boud imo.
16-11-2012, 10:31 door Anoniem
Vaak zit het probleem ook niet in het updaten van de basis (Joomla of Drupal of whatever) maar de extensies die ook geupdate moeten worden. Dat wordt nog vaker vergeten dan dat eerste.
17-11-2012, 07:58 door musiman
Het is altijd raadzaam om zelf even te testen hoe veilig je site is. Wanneer je zelf de kennis ervan niet hebt, laat dit dan doen door een persoon die de kennis wel heeft of een bedrijf dat gespecialiseerd is in pentesting.

Op exploit-db.com staat een leuk document hoe je een joomla site kunt pentesten:

http://www.exploit-db.com/wp-content/themes/exploit/docs/22763.pdf

Zelf ben ik helemaal van Joomla afgestapt vanwege alle veiligheidsgaten in Joomla maar vooral ook in de vele extensies.
22-11-2012, 11:18 door Anoniem
@Hugo: Buiten de punten die ik als programmeur zelf niet zou doen als DATA -> XML -> XSLT render omdat dit zwaar overkill is. Ik ken deze techniek wel, maar dat is dat je de database zelf (hallo PostgreSQL) de XML laat aanmaken en terugsturen en dan vervolgens dat renderd. Als je een template systeem wilt gebruiken wat automatisch escaped zou ik Twig aanbevelen.

Banshee mist op dit moment nog bepaalde onderdelen, die juist Drupal en Joomla! zo populair maken op gebied van CMS.
Namelijk de actieve community, wat gelijk de kracht en last is van deze systemen.
Iemand kan een goede plugin maken die uitstekend werkt, of iets dat zo slecht werkt en zo onveilig is als het maar kan.

En als Framework is het weer te zwak als je het vergelijkt met Zend Framework, Symfony 2 (Symfony CMF voor CMS), CakePHP, Kohana of Code Ignitor. Kleine websites kunnen hier nog wel wat mee, maar bij grote projecten schiet al snel te kort. Maar dit natuurlijk afhankelijk van je doelgroep.

Maar omdat ik niet alleen wil bekritiseren, wil ik ook een paar tips geven.

* Steeds meer mensen maken gebruik van Composer voor dependency management.
* PostgreSQL heeft sinds 9.2 een speciale optie voor format() waarmee je %i kan meegeven voor indentifier met automatische escaping. Allicht interessant om deze techniek over te nemen ;)

http://www.postgresql.org/docs/current/static/functions-string.html

Format a string. This function is similar to the C function sprintf; but only the following conversion specifications are recognized: %s interpolates the corresponding argument as a string; %I escapes its argument as an SQL identifier; %L escapes its argument as an SQL literal; %% outputs a literal %. A conversion can reference an explicit parameter position by preceding the conversion specifier with n$, where n is the argument position. See also Example 39-1.

* Gebruik geen output buffering voor alles, dit werkt vertragend en is eigenlijk niet meer nodig als je een goede template engine gebruikt.
* Strip alle leading ?> van php-only bestanden, dit verwijderd ook de noodzaak van output buffering.
* Magic methos __set/get() zijn 50% langzamer dan gewone setters en getters. gebruik dan gewoon set() en get() zonder magie.

Ps. De mail functionaliteit breekt op een klein punt met de standaards, regels moeten worden verdeeld met \n\r niet \n
Verder dan dat heb je beter je best gedaan dan menig mail functionaliteit programmeur, ik weet hoe immens ingewikkeld dit kan zijn :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.