Joomla dicht sqli-lek in zijn contentmanagementsysteem

Joomla heeft een patch uitgebracht voor zijn contentmanagementsysteem. Daarmee dicht het een lek waarmee een aanvaller via sql-injectie bijvoorbeeld sessies van ingelogde gebruikers kan overnemen.

Joomla! fpa Het lek is ontdekt door beveiligingsbedrijf Sucuri, dat een analyse heeft gepubliceerd. Daarin schrijft Sucuri dat het lek vrij eenvoudig te misbruiken is zonder dat er verhoogde rechten nodig zijn. Door van de sql-injectie gebruik te maken, zou een aanvaller bijvoorbeeld gehashte wachtwoorden buit kunnen maken of de sessie van een ingelogde beheerder kunnen overnemen. Op die manier is het uiteindelijk mogelijk om volledige toegang te verkrijgen.

Het lek met kenmerk CVE-2017-8917 is te gebruiken door bepaalde parameters toe te voegen aan de url. De kwetsbaarheid is aanwezig in versie 3.7 van het contentmanagementsysteem. In een eigen bericht laat Joomla weten dat het lek is gedicht in versie 3.7.1. en raadt het gebruikers aan om zo snel mogelijk een update uit te voeren. Volgens W3Techs maakt 3,3 procent van alle websites gebruik van Joomla; in 28 procent van de gevallen gaat het om WordPress.

Lees meer

IT Banen

Reacties (81)

FrontlineCoder
18 mei 2017 16:10

Hmmz in m'n vroegere lanparty jaren wel veel Joomla gebruikt. Ik vond het het meest gemakkelijke cms toentertijd omdat jr voor wordpress toch iets meer verstand moest hebben om het aan de gang te krijgen. Toen ik eenmaal php leerde ben ik gauw van Joomla afgestapt en bouwde toen gewoon m'n eigen websites.

Tegenwoordig schrijf ik al m'n websites in Angular 2 en REACT met mongoDB en ik kan na jaren van php echt zeggen dat dit veel een veel fijner werken is dan PHP.

Maar hoe komt t nu eigenlijk dat verl grotere websites op wordpress en dergelijke draaien en niet een eigen systeem? Is dat nou 100 procent kostenbesparing en gemakzucht of gewoon geen kennis??

[Reactie gewijzigd door FrontlineCoder op 18 mei 2017 16:12]

NoobishPro
@FrontlineCoder • 18 mei 2017 16:29

Dit blijft een mening en geen feit. Tevens zijn dingen als angular niet te vergelijken met PHP. Angular is javascript. Uiteindelijk moet hier nog steeds een server-side taal bij. Dit kan PHP zijn. Het feit dat je PHP zo makkelijk kan gebruiken voor dit soort situaties maakt het ook zo speciaal.

Alles wat jij zojuist noemde heeft een specifiek doel. Die doelen kunnen variëren en afhankelijk van dit doel kan het dingen juist moeilijker of makkelijker maken. Het voordeel van vanilla PHP is dat je elke kant op kan zonder restricties. Elk framework (zoals angular 2 en REACT) nemen bijzonder flinke restricties met zich mee.

Ook claimt praktisch iedereen dat deze frameworks zo belachelijk en absurd snel zijn, maar mijn vanilla scripts blijven toch echt sneller (wat ook niet gek is, want het scheelt weer een interpreter)
Uiteindelijk blijft het dus toch echt bij de programmeur liggen en niet bij de taal.

Overigens over je laatste punt; Een combinatie van beiden. Wordpress is gigantisch geworden vanwege de hoeveelheid kennisloze programmeurs die als ZZP-er wordpress sites gingen verkopen. Goedkoop en snel resultaat, dat maakt kleinere klanten gelukkig. uiteindelijk is Wordpress hierdoor uit handen gelopen en daarom is Wordpress ook praktisch onwerkbaar voor grotere websites.

Er zijn ook bedrijven welke wordpress gebruiken ivm het cms, maar hier vervolgens hun eigen framework in hebben hangen. Dit gewoon om de 'look and feel' voor de klant vertrouwd te houden.

Echter, laat je niet voor de gek houden. Een (standaard) Wordpress website zal altijd vertragen en breken met tijd. De hoeveelheid updates, slechte databasestructuur en vreselijke manier van coderen resulteren altijd in één grote bende. Vroeger of later...

-- vergeet vooral niet dat tegenwoordig bijna iedereen een website heeft. Een aanzienlijk groot deel van het internet zijn compleet zinloze en/of niet-zakelijke websites. Het grootste deel van wordpress wordt door amateurs gemaakt. Juist omdat het zo makkelijk is, is het zo veel. Maar dat zoveel van de websites met wordpress gemaakt zijn, wil dus enkel zeggen dat er veel websites zijn. Niet specifiek dat andere websites daardoor géén wordpress zijn. Dit is een belangrijk verschil om op te merken.

[Reactie gewijzigd door NoobishPro op 18 mei 2017 16:35]

Knippr
@NoobishPro • 18 mei 2017 22:17

Een prima comment, hulde. Ik wil nog wat kritiek opborrelen omtrent bovengenoemde keuzes voor Angular, React en MongoDB.

Het probleem is niet zozeer dat deze frameworks en keuzes op zichzelf fout zijn, ze zijn inderdaad gemaakt voor een bepaald doel. Het echte probleem is dat dit soort keuzes steeds meer kritiekloos worden gezien als een soort van standaard software stack voor web applicaties. Om uit te wijden waarom deze keuzes lang niet altijd de juiste zijn:

Angular: krachtig, maar een zeer sterke lock-in. Als je een echte grote applicatie aan het maken bent, ga je hier over een paar jaar flink last van krijgen. Dan is er een nieuwe Angular, of niemand weet meer iets van Angular. Success dan verder.

React: Deze library (het is geen framework) is gemaakt voor apps die heel veel state hebben. zoals Facebook, waar 10 dingen op het scherm tegelijk aan het veranderen zijn op basis van een event. De meeste bedrijven zijn geen Facebook en hebben geen apps met zoveel complexe state. In veel gevallen is het overkill. Een ander risico is dat wanneer je hier toch aan begint, je ook tig andere dependencies erbij moet laden, bijvoorbeeld voor state management, routing, etc. Voor je het weet laad je tig libraries om een probleem op te lossen wat je niet eens hebt.

MongoDB, en iedere andere vorm van NoSQL: Mijn inschatting (en ik draai 20 jaar mee) is dat 80% van de web applicaties het beste af zijn met een relationele database, simpelweg omdat hun data model daar toe neigt. Toch wordt steeds meer NoSQL gekozen vanwege "scale" .Ook hier de vraag of je uberhaupt de schaalbaarheid nodig hebt van een Twitter, en of je schaal groter gaat zijn dan je kinderlijk eenvoudig met SQL had kunnen doen.

NoobishPro
@Knippr • 19 mei 2017 00:09

Bedankt voor de aanvulling. Erg duidelijk en informatief!

MongoDB komt trouwens zo veel naar boven ivm de verzameling van data die tegenwoordig zo doodnormaal is geloof ik... (Usertracking d.m.v. statistieken enz)

"Het echte probleem is dat dit soort keuzes steeds meer kritiekloos worden gezien als een soort van standaard software stack voor web applicaties. "

^Bovenstaande is kort en bondig precies wat ik probeerde te zeggen. Bedankt hiervoor

Jism
@FrontlineCoder • 18 mei 2017 16:25

Het laatste. Het is doodeenvoudig een installatie van wordpress op te werpen, en het is doodeenvoudig je site bij elkaar te klikken aan de hand van layout (thema's) en functionaliteit (plugins). Zonder al teveel aanpassingen kan je dan ook bijna iedere gangbare site in elkaar draaien.

Echter is een sitebuilder zoals wordpress nooit echt bedoeld hiervoor. Het was oorspronkelijk als blogsysteem bedoeld maar men is het steeds vaker gaan gebruiken uit gemakzucht om zo snel een website op te werpen.

Het nadeel is dat het vaak ook onveilig is, de core van wordpress of de plugins (zelfs de thema's), en hiermee je groot risico kunt lopen om gehacked te worden ook. Performance is ook zoiets bij wordpress. Out of the box is het traag. En moet je het fatsoenlijk optimaliseren voordat er een beetje snelheid in komt te zitten.

Joomla is in dat opzicht complexer en zeker als je voor het eerst joomla gaat gebruiken. Ik denk dat de groep gebruikers van Joomla vooral bekend is met hoe het werkt en niet zo snel over wil stappen op een ander pakket. Met Joomla is het beveiligen van bijv /administrator met een wachtwoord altijd de beste oplossing geweest, ook al was je site lek, ook al werd deze gehacked, was het vrij lastig om door de htaccess beveiliging heen te komen.

johnkeates
@FrontlineCoder • 18 mei 2017 19:18

En wordt gebruik gemaakt van bewezen systemen (compleet CMS of bijv. alleen een framework) om dat onderhoud en controle dan een stuk beter werkt. Elke keer het wiel opnieuw uitvinden en constant je eigen codebase screenen en patchen kost heel veel tijd en geld en kan bijna niet zo goed zijn als een systeem waar honderden mensen mee werken om dat er simpelweg minder mensen zijn om problemen op te sporen en op te lossen.

shredder
18 mei 2017 15:21

Is enkel 3.7 kwetsbaar of ook de vorige versies, bijv 3.6.5?

DeZzL
@shredder • 18 mei 2017 15:40

Enkel 3.7. De kwetsbaarheid zit in de in 3.7 geïntroduceerde "custom fields" (com_fields).

JBS
@shredder • 18 mei 2017 15:40

Deze specifieke kwetsbaarheid geldt enkel voor 3.7, zie https://developer.joomla....1-core-sql-injection.html

NightFox89
18 mei 2017 14:11

Niet als bash bedoeld, maar wordt Joomla nog zoveel gebruikt? Kom het nog zelden tegen 'in t wild'

434365
@NightFox89 • 18 mei 2017 14:17

(ook niet als bash bedoelt)
Niet heel veel, helaas zijn er wel vrij vaak dit soort lekken omtrent Joomla, en vaak duurt het even voordat er een patch is. En veel sites worden slecht/niet geupdate, dus Joomla word (in mijn ervaring) eigenlijk alleen nog maar gebruikt als een klant er specifiek om vraagt/op blijft hameren, zo niet, zijn er tig andere voorgebouwde systemen die een stuk veiliger zijn.

Het is ook al lang niet meer zo dat Joomla features heeft die bij andere pakketen miste, dat is volgens mij vooral waarom het in het verleden groot werd, je kon vrij simpel allerlij soorten sites uit die backend toveren, maar vandaag de dag kan dat net zo goed met bijv Wordpress of Drupal, en die (hoewel ook niet geweldig) worden al tig keer beter bijgehouden

[Reactie gewijzigd door 434365 op 18 mei 2017 14:19]

Laurensius88
@434365 • 18 mei 2017 15:16

Die ervaring heb ik juist niet. Ik werk veel met Joomla en de community en juist zodra zulke lekken aan het licht komen, is er vaak snel een update beschikbaar.

De 12e werd dit lek ontdekt en een patch aangekondigd. Zonder dat tussendoor het lek publiek bekend was is 5 dagen later een patch gereleased met tegelijkertijd een aantal bugfixes.

Overigens, is er serieus wel veel vraag naar Joomla als CMS.

pj_vr
@434365 • 18 mei 2017 15:30

zie in de praktijk wat anders: meeste wordpress-sites die ik voorbij zie komen zijn misbaksels en dat ligt dan vooral aan de bouwer. Wordpress is een overhyped cms met een goede marketingmachine, meer niet. Joomla en Drupal zijn prima, mits bijgehouden en goed gebouwd. Onder de streep is het niet het cms maar de webbouwer die maakt of een site in orde is...

454232
@pj_vr • 18 mei 2017 16:12

Zo is dat. WP is meer gebruikersvriendelijk en daarom zie je ook zo veel snel in elkaar geknutselde websites.
Ik heb aan diverse Joomla sites gewerkt, t/m versie 3 en was niet echt gecharmeerd van het systeem, vaak toch onoverzichtelijk en sommige opties onhandig geïmplementeerd.

434365
@pj_vr • 18 mei 2017 15:48

In mijn ervaring zijn ze alle 3 even slecht, maar Wordpress word nog wel het meeste gebruikt, enkel en alleen 'omdat men (lees; de site beheerder) het kent'

Als jij bij mij persoonlijk een website komt afnemen, gebeurd dat gewoon op mn eigen CMS, waar ik met liefde hackersafe etc overheen haal om je gerust te stellen dat ja, ik weet wat ik doe.

Begrijp me niet verkeerd, het moet absoluut niet de reden zijn om het zo te doen, maar met een eigen systeem 'win' je vaak al wat veiligheid simpelweg omdat het niet online staat waar iedereen maar in de broncode kan zoeken naar ingangen (wederom dit is dus NIET de hoofdreden om zoiets te bouwen, want veiligheid door informatie-tekort is natuurlijk geen echte veiligheid, maar als je dit vervolgens combineert met certificering van de vele test-bedrijven dan kun je toch een vrij sterk systeem neerzetten)

batjes

Security

@434365 • 18 mei 2017 16:48

Een goed en uitgebreid CMS fatsoenlijk onderhouden is bijna een fulltime baan. Tenzij je een beetje statische data displayed oid.

Die schijnveiligheid waar je op doelt, is echt dat. Zolang je geen doelwit word, is het niet zo'n probleem, als je de default valkuilen weet te ontkomen. Maar zodra jij of je klanten wel een doelwit worden (en daar hoef je niet belangrijk voor te zijn, kan je echt random overkomen), dan helpt het echt helemaal niets kan ik je uit ervaring vertellen. De exploits worden wel gevonden.

Het is ook zonde van je tijd om een eigen CMS te beheren, het is leuk om kennis mee op te doen, maar het is voor je eigen vrije tijd beter om het via Joomla oid te doen. Een handje vol van die CMSen onder de knie krijgen en weten hoe je ze moet inzetten kost maar een fractie van de tijd.

bones
@pj_vr • 18 mei 2017 18:48

In mijn 10 jaar ervaring als webdesigner kan ik zeggen dat Joomla een grotere misbaksel is dan Wordpress. Bij Joomla al veel meer lekken/hacks meegemaakt en qua user interface is het behoorlijk gebruikers onvriendelijk.

WordPress is veel simpeler en mits goed gebouwd is het volledig en makkelijk door een eindgebruiker te beheren.

Het is niet voor niets dat veel ondernemingen op WordPress draaien en niet op Joomla.

MrMarcie
@bones • 19 mei 2017 11:27

Apart, mijn ervaring is precies andersom.

Waarnemer
@bones • 19 mei 2017 13:26

Ondernemingen draaien op Wordpress omdat ze 1) er niks gebudgeteerd is tav web presence dus moet het voor weinig.
2) van de buurjongen op de verjaardag hebben gehoord van "Wordpress is zo makkelijk.
3) Wordpress een synoniem is geworden voor open source (gratis) CMS-en zoals Martini voor alle vermouth en aspirine voor pijnstillers...

Worpress is niet enterprise ready. Heeft een beroerd ACL, geen standaard versioning enzovoorts.. leuk voor als je in je eentje aan je site werkt. maar niet als je met een groep / team werkt... oh je de eenpitter/zzp-er heeft er dan geen probleem mee (tegenwoordig het overgrote deel van "ondernemingen met een website"). Maar heb je personeel of de wens met je bedrijf te groeien.. Joomla of Drupal, waar Joomla out of the box al enterprise ready is. ACL, versioning, multilingual enzovoorts..

Voor de designer is Joomla helemaal King (tenminste die ene die ook de code klopt) Design in één plek, templates/.... zo nodig overrides te maken op elke output van een extensie, layouts enzovoorts.. ZONDER het CMS of Extensie te hoeven aanpassen.

rvt1
@434365 • 18 mei 2017 14:29

als ik zo de site lees is dit ook een klassiekertje en duidelijk verkeerd gebruik maken van de toolset omhanden..

Heb al een tijd geen PHP meer gedaan, maar dat taaltje en toolset blijkt ook altijd een beetje hobby tooltje als je het mij vraagt...

434365
@rvt1 • 18 mei 2017 14:40

Joomla is gebouwd op PHP, net als zo'n ~70% van het web ofzo, PHP is de leidende taal online, Tweakers is ook PHP, maar waarschijnlijk wel tig keer beter geschreven dan Joomla (mede ook omdat het maar 1 doel heeft ipv 20 zoals een doorsnee CMS)

Dus nee, PHP is in ieder geval niet het probleem, het probleem is vooral dat Joomla werkt met een (relatief) klein team.

pj_vr
@434365 • 18 mei 2017 15:25

Dat laatste is onzin, Joomla heeft juist een vrij grote development-community. Probleem is dat het niet top-down aangestuurd wordt zoals bij Wordpress en Drupal wel het geval is, zo'n beetje alles wordt 'democratisch' tot stand gebracht vanuit de community en dat komt de kwaliteit niet altijd ten goede...

armageddon_2k1
@pj_vr • 18 mei 2017 15:52

Nee want de codebase van Wordpress ziet er zo goed uit.

Barryke
@armageddon_2k1 • 18 mei 2017 16:12

Over codebase gesproken, ik vind de architectuur van Contao CMS wel indrukwekkend. Ook PHP overigens. En een goede (maar overwegend duitstalige) community.

Waarnemer
@armageddon_2k1 • 19 mei 2017 13:27

</sarcasm off>

En dat wordt gemanaged door de Developers van Wordpress/Automattik.. multimillion dollar company....

armageddon_2k1
@Waarnemer • 19 mei 2017 13:33

Want omdat er veel geld achter zit, is het automatisch goed. Kijk maar naar de overheid.

Waarnemer
@armageddon_2k1 • 19 mei 2017 13:43

Ja met zoveel geld gaat niet alles goed...
J! is zonder geld maar met een toegewijde community gekomen waar het nu is.

- Out of the box Open Source Enterprise ready CMS.

Dat er lekken zijn.. ja er zijn altijd lekken. De reactiesnelheid op lekken is wel enorm hoog. En dát met vrijetijdsdevelopers...
Automattik heeft natuurlijk wel degelijk een verdienmodel dat aan WP is gehangen. Hetzelfde geldt voor de toko achter Drupal.
Onduidelijk voor de gebruikers en eigenaren van sites hoe en wat. Daar wordt weinig open over gedaan.

sdk1985
@pj_vr • 18 mei 2017 17:00

Dat laatste is onzin, Joomla heeft juist een vrij grote development-community. Probleem is dat het niet top-down aangestuurd wordt zoals bij Wordpress en Drupal wel het geval is, zo'n beetje alles wordt 'democratisch' tot stand gebracht vanuit de community en dat komt de kwaliteit niet altijd ten goede...

De community liep in mijn ervaring al jaren geleden helemaal leeg. Er kwamen steeds minder en steeds minder goede plugins voor basic functionaliteit als caching en seo. Op een gegeven moment houdt het dan op.

Daarmee wil ik overigens niet beweren dat Joomla websites niet meer voorkomen. Er zijn nog (vaak lokale) bedrijven die deze websites slijten aan klanten. Laatste gemeenteborrel kwam ik er al twee tegen.

[Reactie gewijzigd door sdk1985 op 18 mei 2017 17:01]

JoeyPrr
@rvt1 • 18 mei 2017 14:35

Als ik me niet vergis is Tweakers gewoon met PHP gebouwd. Heeft weinig met de taal te maken, meer met de persoon die de taal toepast.

Stoelpoot
@JoeyPrr • 18 mei 2017 15:05

Mja, als 2 mensen met vergelijkbare ervaring met de ene taal sneller fouten maken dan met de andere, dan ligt het dus wel gedeeltelijk aan de taal.

Uiteraard zal het niet alleen aan de taal liggen, maar het kan wel bijdragen. Net zoals dat je in C eerder Segfaults schrijft dan in C#.

NoobishPro
@Stoelpoot • 18 mei 2017 16:19

Dit is echter een typisch probleem en dan ook onvermijdelijk.

De flexibiliteit van php is wat zorgt dat je sneller fouten kunt maken wanneer je niet weet wat je doet. Aan de andere kant, biedt het velen malen meer mogelijkheden zonder dat je onhandige omwegen hoeft te bouwen om iets te laten werken.

Dat is iets wat je afweegt. Het is niet anders dan macOS vs windows. MacOS staat minder toe en daardoor kan er minder fout gaan. Windows is praktisch een open boek en daar gaat alles fout.

Het ligt uiteindelijk altijd bij de programmeur. Een programmeur kan php nagenoeg exact hetzelfde laten werken als C# of C. Helaas doen een hoop dit ook

Knippr
@Stoelpoot • 18 mei 2017 22:05

PHP's toegankelijkheid is inderdaad zowel de kracht als de zwakte. Doordat het zo benaderbaar is trekt het ook veel non-pros aan die maar wat doen, en in hun zoektocht naar simpele oplossingen op het web allerlei oude, zeer foute artikelen tegenkomen die het slechte voorbeeld geven, en zo houden we deze slechte reputatie in stand.

Xantios
@rvt1 • 18 mei 2017 14:36

Kan uit je comment wel redelijk duidelijk opmaken dat "tijdje" een understatement is.
het is allang geen taaltje meer en de tooling wordt eigenlijk elke dag beter en beter.

helaas zijn het prut systemen zoals Joomla die er voor zorgen dat PHP een slechte naam blijft houden (bij sommige).

HansvDr
@Olaf van der Spek • 18 mei 2017 16:58

Dat is meer onkunde van de vragensteller dan van php

P1nGu1n

@NightFox89 • 18 mei 2017 14:13

Volgens W3Techs maakt 3,3 procent van alle websites gebruik van Joomla

Blijkbaar wel, 1 op de 30 websites

Edit:
En het marktaandeel onder de CMS'en is 6,9% (en het totale marktaandeel is dus 3,3%, want 52,6% van alle websites gebruikt een CMS)
Bron: W3Techs

[Reactie gewijzigd door P1nGu1n op 18 mei 2017 16:45]

prutsger
@P1nGu1n • 18 mei 2017 16:43

Tsja er zijn zat CMS-en waarbij je aan de buitenkant niet ziet dat er een CMS achter de site ziet. Dit soort stats neem ik dus met een korrel zout.

Niet dat ik een voorstander ben van security by obscurity maar het maakt je toch een stukje minder kwetsbaar. Je kunt er donder op zeggen dat er nu flink gescand wordt naar sites die Joomla gebruiken en nog niet op deze versie zitten. Dat zet Joomla namelijk nog steeds in de <head> van je site (<meta name="generator" content="Joomla! - Open Source Content Management" />).

[Reactie gewijzigd door prutsger op 18 mei 2017 17:07]

MrMarcie
@prutsger • 19 mei 2017 11:36

Dat kan je gewoon verwijderen in je template. En elk CMS is te traceren, dan zijn ook andere methodieken voor.

SMillerNL
@NightFox89 • 18 mei 2017 14:14

volgens de laatste regel niet

EDIT: relatief tot wordpress in ieder geval

[Reactie gewijzigd door SMillerNL op 18 mei 2017 14:15]

uubee
@NightFox89 • 18 mei 2017 23:26

Veel Joomla sites hebben code zoals dit:
<?php $this->setGenerator('Anything you want or leave empty'); ?>

In hun template staan. Zelf staat er in mijn Template:
<?php $this->setGenerator('OpenCMS 1.01 (c) 2007-2017 HF2'); ?>

Gewoon om lekker verwarrend te zijn. En kloppen gewoonweg de tellingen niet meer.

sourcecode
@NightFox89 • 18 mei 2017 14:30

Zelf grote bedrijven / media gebruiken het

De site van 3fm bijvoorbeeld

npo3fm.nl

Draait mooi op joomla.
Exact software draait ook op joomla

bastiaandegoede
@NightFox89 • 18 mei 2017 14:16

~3 op 100 == ~1 op 33,34

[Reactie gewijzigd door bastiaandegoede op 18 mei 2017 14:47]

Olaf van der Spek
@ogbrugge • 18 mei 2017 15:44

Ligt er maar net aan welke afrondingsregels je gebruikt.

Anoniem: 917165
@Anoniem: 288526 • 18 mei 2017 19:42

Helaas. Je hebt nog een boel te leren. Er zijn meerdere juiste, welke er juist is, hangt af van het doel. Google bv. eens op bankers rounding. Mocht je devver worden later als je groot bent, check dan altijd hoe de taal die je gebruikt afrond. Je zou niet de eerste zijn die daar in trapt en denkt dat de afrondingswijze die jij hierboven neerzet de enige juiste is.

Anoniem: 288526
@Anoniem: 917165 • 19 mei 2017 16:35

mirror mirror...

Je doet goed je best om net zo te communiceren als je held uit de VS.

ArtGod
18 mei 2017 15:53

Belachelijk dat er nog steeds SQL Injection fouten gevonden worden. Dat betekent dat deze software door amateurs is geschreven!

NoobishPro
@ArtGod • 18 mei 2017 16:24

Volledig mee eens. Het is hilarisch makkelijk om sql injection af te vangen. Zelf heb ik een request class waar ik alles doorheen laat gaan. De anti-sql injection protection (leuke zin) moet bewust uit worden geschakeld bij het ophalen van externe data door een simpele boolean als parameter. Dit betekent dat je het bewust uit zet en dat doe je altijd met een reden.

Ik begrijp ook nog steeds niet hoe al die gigantische CMSen waar miljoenen in omgaat het slechter doen dan mijn CMSje wat ik in mijn uppie in 1 maand geschrevne heb

NightFox89
@NoobishPro • 18 mei 2017 16:54

Het is hilarisch makkelijk om sql injection af te vangen

Mwa, dat valt wel mee. Met wat mysql_real_escape_string() methodes etc ben je er nog niet helemaal.

http://stackoverflow.com/...-mysql-real-escape-string

NoobishPro
@NightFox89 • 18 mei 2017 17:44

Het is niet moeilijk een functie te maken om deze kansen te minimaliseren.

Ik set de encoding bij elke verbinding, dus dat risico valt al af. Ook dit is niet bijzonder moeilijk. Bij deze reactie moet ook rekening gehouden worden met het feit dat dit om MYSQL gaat, welke om veiligheidsredenen niet meer ondersteund word. Mysqli is de huidige standaard en voorkomt een aantal van deze problemen.

Het verschil tussen mysql_escape_string(); en mysqli_escape_string() is dat de laatste een verbinding met de database nodig heeft om überhaupt te kunnen werken. Hiermee vangt hij de genoemde problemen in het door jouw gelinkte artikel al af.

Ik heb een simpele 'handledata' functie en deze checkt of wat er in de opgegeven data staat wel klopt. Uiteraard is deze functie bijzonder globaal, maar voor de ingewikkeldere zaken kun je het altijd nog custom afvangen.
In jouw link staat " or quote MySQL string literals using the single-quote character". Dit is één van de dingen die mijn functie al doet, dus...

In het artikel wat je zojuist zelf linkte, staat ook dit;
_{for this attack to work the database connection must be encoded using a vulnerable character set. utf8mb4 is not vulnerable}

en dit: _{An alternative is utf8, which is also not vulnerable}

Het feit is dat deze post 6 jaar oud is. UTF8 is sowieso al een redelijke standaard, maar utf8mb4 is al helemaal een standaard geworden met de komst van emoji's.

Principieel weet elke (opgeleide) programmeur van deze gevaren en hoe zij deze op moeten lossen. Zoals ook duidelijk gemaakt in jouw eigen link, is het niet bepaald moeilijk. Wordpress enz. hebben zeeën aan programmeurs die hier één makkelijke functie voor kunnen schrijven maar doen het niet. Vooral bij wordpress is dit makkelijk, want deze is niet OOP en gebruikt enkel global functions.

Uiteraard kun je een 'echte' hacker nooit buitenhouden, maar het is ook onrealistisch om dit te eisen.

[Reactie gewijzigd door NoobishPro op 18 mei 2017 17:47]

g4wx3
18 mei 2017 15:06

In een vergelijk, had ik begrepen dat Joomla toch veel beter was dan drupal7, Dinds Drupal 8 zijn ze over op symfonie, toch wel toon aangevend door dev.
Wordpress is een misbaksel inderdaad
En tweakers, gebruikt ook Java, En facebook heeft PHP omgebouwd om het beter te maken.

PHP heeft veel littekens van de groeipijnen, maar beschik wel over krachtige en moderne tools.
Ik werk graag met PHP, maar zou graag de functiebibliotheek drastisch zien aanpassen naar OOP.
PHP7 brengt al heel veel, onder ander typed variablen.
Je kan perfect OOP doen met PHP

[Reactie gewijzigd door g4wx3 op 18 mei 2017 15:13]

Anoniem: 917165
@g4wx3 • 18 mei 2017 15:34

Drupal is BERGEN beter dan Joomla. Met name op securitygebied. Diegene die jou verteld heeft dat Joomla beter is, zou ik in de toekomst maar niet te serieus meer nemen.

Barryke
@Anoniem: 917165 • 18 mei 2017 16:37

Ik ben het daar wel mee eens, maar het is allemaal maar een kwestie van opinie en wat je ermee wil bereiken: niet iedereen heeft dezelfde oplossing nodig.

Ik zeg bijvoorbeeld weer dat Contao beter is dan Drupal / Joomla/ Wordpress. En Typo3 is weer beter dan Contao - afhankelijk van hoe je het bekijkt - maar dat vind ik wat te ingewikkeld.

Anoniem: 917165
@Barryke • 18 mei 2017 18:40

Door de bank genomen kun je in al die pakketten een prima website maken die ook veilig is. Joomla is tegenwoordig wel een stuk beter dan 'vroegah', een groot deel van de echt slechte legacy code is er wel uit. Drupal is van begin af aan meer secure ontworpen, en dat zie je nog steeds.

Wordpress is eigenlijk helemaal geen CMS en alleen maar zo populair omdat het zo makkelijk is voor mensen die geen developer zijn.

Wil je echt betere CMS-sen, kijk dan bv. ook eens naar Hippo.

De grap van een CMS is dat het in veel gevallen totaal overbodig is. De bakker op de hoek heeft helemaal geen CMS nodig, in de praktijk gebruikt hij/zij dat nooit. Zodra ze een keer content willen updaten, gaat het toch mis, en komt de handige neef of developer die het gemaakt heeft, er toch aan te pas. Dan zou ik nog liever bv. Laravel pakken en daar een simpele site in maken.

jordees
@Anoniem: 917165 • 18 mei 2017 19:21

Laravel? Dat is hetzelfde als een tank kiezen om over een fietspad te rijden. En nog langzaam ook. Kies dan voor gewoon html of een cms met een hele kleine basis (littlecms of zoiets?)

Anoniem: 917165
@jordees • 18 mei 2017 19:37

Klopt, kan ook een keuze zijn. Echter in relatie tot Joomla/Drupal/Wordpress, etc, is alleen laravel wel degelijk al een lichtere keuze, waarbij je toch al de keuze hebt uit zaken als templates en een goed ORM.

bauke1994
@g4wx3 • 18 mei 2017 15:22

Tweakers is in PHP geschreven en wordt bijgestaan door java voor bepaalde taken.
Facebook heeft PHP niet verbouwt maar gebruikt een andere interpreter (HHVM), dit heeft niks met de taal te maken.

Wat betreft de littekens en functiebibliotheken sluit ik me wel bij je aan.

NoobishPro
@g4wx3 • 18 mei 2017 16:21

Je kunt PHP zelf OOP maken. Dat is juist het mooie ervan. Persoonlijk heb ik als (niet erg slechte) programmeur een hekel aan de programmeurs die PHP onnodig gecompliceerd maken en niets anders krijsen dan "OOP!". Veel programmeurs gaan hier onnodig ver in en daar ga je enkel op achteruit. Tevens zijn er meer dan genoeg kant en klare light-weight frameworks om een OOP basis te bieden.

Olaf van der Spek
@g4wx3 • 18 mei 2017 15:46

PHP is als taal toch helemaal niks bijzonders?
Het is dat er (standaard) veel bibliotheken / functionaliteit beschikbaar is maar dat is het dan ook wel.

NoobishPro
@Olaf van der Spek • 18 mei 2017 16:22

PHP is dynamisch, gaat met zijn tijd mee en is retensnel.
Het is de makkelijkste toepassing voor web. Als PHP niet zo bijzonder was, zou Microsoft het niet praktisch hebben gekopieerd met 'razor script', wat de php variant van C# is.

ExtendedCaesar
@NoobishPro • 18 mei 2017 18:12

Ik neem aan dat je ASP.NET bedoeld?

NoobishPro
@ExtendedCaesar • 18 mei 2017 20:04

Razor script is "het nieuwe ASP", ja.
Het moet echter niet verward worden met klassieke ASP.NET, dat is heel wat anders. Dingen als masterpages enz. komen compleet te vervallen met razorscript. Het is structureel nagenoeg hetzelfde als PHP.

Edit: Het valt overigens wel onder de noemer van ASP, maar ASP.NET en razorscript zijn naast elkaar en door elkaar heen te gebruiken. Razor is een totaal en compleet andere interpreter. Just saying.

[Reactie gewijzigd door NoobishPro op 18 mei 2017 20:14]

ExtendedCaesar
@NoobishPro • 18 mei 2017 22:09

Cool! Al een poos geleden dat ik daar echt mee bezig ben geweest. thanks

Weer eens inlezen

nextware
18 mei 2017 16:17

Ik heb de update vanmorgen direct uitgevoerd. Ik zag echter al wel dat de Firewall software die ik gebruik op de Joomla sites (RS Firewall) dat er vannacht al 2 SQL injections geprobeerd waren.

Dus het lek wordt zo te zien al live gebruikt.

Jism
@nextware • 18 mei 2017 16:27

RSfirewall heb je niet eens nodig, als je je server gewoon goed configureerd ( http://stackoverflow.com/...t-post-request-the-server ) dan ben je ook technisch onkwetsbaar voor iedere POST dat naar je website toe uitgevoerd wordt.

NoobishPro
@Jism • 18 mei 2017 20:06

Zou dit enige ajax (client-side post requests) niet ook breken?

Jism
@NoobishPro • 23 mei 2017 21:45

Beetje laat, maar als je site helemaal geen ajax nodig heeft / gebruikt, dan heb je het ook niet nodig, toch?

NoobishPro
@Jism • 23 mei 2017 22:35

Hahaha ja, dat klopt. Probleem daarmee is alleen dat praktisch elke moderne website ajax gebruikt. Dit is praktisch de nieuwe norm. Angular is erg sterk aan het opkomen en deze is gemaakt met het doel om alles client-side te regelen.

Interactieve websites zijn echt de norm nu. In het begin was ik hier niet erg blij mee, maar nu moet ik ook bekennen dat ik al jaren geen website meer gebouwd heb zonder ajax

Op dit item kan niet meer gereageerd worden.

Joomla dicht sqli-lek in zijn contentmanagementsysteem

Lees meer

IT Banen

Reacties (81)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden