SQL-Injections zijn al zeker 20 jaar bekend (https://en.wikipedia.org/wiki/SQL_injection) ... raar dat men daar nog steeds in trapt als programmeur. Er zijn hele frameworks die dat voor je oplossen.... Blijkbaar weten de programmeurs het altijd zelf beter..

Leuk lijstje met meest voor komende lekken in 2017:
https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

TheYOSH

Tjah, moeten ze maar wat meer tijd en geld in developers steken.

Programeren en deadlines gaan niet samen.

Beveiliging tegen reverse engineering vind ik onbelangrijk. Dat dient alleen om het monopolie van de applicatieschrijver te beschermen. Als de veiligheid van een applicatie voor monitoring van SCADA zaken afhankelijk is van het niet kunnen reverse engineeren is er sprake van security by obscurity.

Dank!

https://www.owasp.org/images/7/72/OWASP_Top_10-2017_(en).pdf.pdf
is de juiste adressering om in je browser te plakken.

Goed gezien, buttonius, laat ze die airgap maar eens goed gaan beveiligen. Ik lees hier zelfs berichten van lieden die legitieme security third party cold reconnaissance scans wil verbieden op internet providers als policy (ja ook shodan en dazzlepod scannetjes dienen door ISP verboden te worden, zodat inherente a priori onveiligheid niet meer door security researchers kan worden vastgesteld. De klant moet in hemelse onwetendheid zich veilig wanen. Graai - graai -grabbel.

Dat is nou net "security through obscurity in optima forma". Iedereen laten geloven in snake-oil security, als de vinkjes maar gezet zijn ten behoeve van de bonus en de dertiende maand en het feestje door kan gaan. Jouw en mijn insteek staan daar gelukkig haaks op. Ik ben een oude F.R.A.V.I.A. adept, de veel te vroeg gestorven resource engineer en later searchlore guru. Veel van deze man en bij voorbeeld een andere Italiaanse hacker van origine, Giorgio Maone (de man achter NoScript) geleerd. Debuggen, die handel en afvoeren die oude bibliotheekmeuk van onveilige jQuery enz. enz.

Er is teveel SCADA schade veroorzaakt door zaken, die binnengesmokkeld werden via n00b onderaannemertjes, van niets wetende PR burootjes, pijpenleggers en tegelzetters.

Applicatieschrijvers beveiligingskennis bijbrengen is een betere optie en niet alleen het terrein laten zijn van gespecialiseerde technische IT.

Knippen en plakken op de stack. Hou er finaal over op.

Wanneer zal de wal het schip gaan keren? Want uiteindelijk kan het toch zo niet langer verder.
De eindgebruiker ligt onder een boom te snurken als RipVanWinkle of Gulliver tijdens zijn reizen,
vastgebonden met wrakke code touwtjes.

Ik krijg nog wel eens de vraag naar het IP adres van een sinkhole als er een melding van een besmette machine wordt gedaan. Want dan kunnen ze dat IP adres blokkeren in de router en krijgen ze geen meldingen meer.

Peter

@ Peter,

Maar niet alles komt in aanmerking voor sinkholen. Zelf online opleiding gehad via een nu dertiger, een naamgenoot van jou, afkomstig van de UNI van Wenen, die als jonge hacker-IT student naar Praag moest verhuizen. Zijn latere Security bedrijf, die sinkholen trachtte te automatiseren, is nu al weer in een ander bedrif opgegaan.

Aanvankelijk startte hij zijn bedrijf in Praag op samen met een commercieel ingestelde studiegenoot. Ze waren toen net in de twintig en juist afgestudeerde security starters.

Veel geleerd via zijn online opleiding en via zijn instructies. Sinkholen is wel degelijk een wijze om je infrastructuur veiliger te krijgen en goede analyse resultaten te verkrijgen, Onder meer in Polen zijn er zeer goede resultaten mee verkregen.

Bij wat je thans ziet is er op veel plaatsen bij hosters geen echte expertise meer in huis voorhanden services outsopurcen en naar de cloud. Mensen die beslissingen nemen, geloven in gladde praatjes van de 1-klik-voor alles-oplossingen belovende dozenschuivers a la de artsenbezoeker. Daarna gaat het dus ook vaak mis, die ene klik volstaat in veel gevallen niet. Wat te mooi om waar te zijn leek, is het in werkelijk ook vaak.

Het jammere is dat men hier niets van leert en steeds weer voor hetzelfde kiest, omdat het niet voldoende pijnlijk wordt afgestraft en afgeleerd. De vinkjes voor de bonus staan er, het derdiende maand contractje is geregeld, het feestje gaat door. Wie doet me wat en als de shit de fan dreigt te raken, verkoop ik lekker mijn aandelen (denk aan Intel).

Ze zitten niet meer met opgestroopte mouwen in de netwerk loopgraven en in de code op de stack. Cut and paste is veelal de modus operandi.

Waar je info proliferatie tegenkomt, af te voeren code en nauwelijks best policies ziet toepassen, moet je eigenlijk al weten hoe laat het is. Gaat het lang goed is dat vaak puur een kwestie van geluk hebben. Meer geluk dan wijsheid. Ik ben een jong gebleven oude knar, mijn deutje nog steeds meespelend, maar als het moet, vreet ik ze nog op, die managers zonder richting of kennis met hun bonus-graai-oogjes. Wie ontmaskert ze eens echt?

Jodocus Oyevaer