Het Amerikaanse bedrijf Application Security Inc. heeft programma's ontwikkeld waarmee de populaire databaseserver MySQL en webapplicaties onderzocht kunnen worden op veiligheidsproblemen. De programma's hebben de namen AppDetective for Web Applications en AppDetective for MySQL meegekregen. Webapplicaties en hun back end, de database, kunnen een gemakkelijk weg naar binnen vormen voor kwaadwillenden. Met deze programma's kunnen webtoepassingen getest worden op onder andere SQL injections, parameter manipulation en meer. Voor MySQL worden een aantal testen geleverd om onder andere de sterkte van wachtwoorden te testen evenals een mogelijkheid om te testen hoe de database reageert op een Denial of Service-aanval. Voor 1.295 dollar zullen de producten van eigenaar verwisselen.
MySQL krijgt security scanner
Lees meer
:strip_exif()/i/2001945307.png?f=thumbmedium)
:strip_exif()/i/1186990860.gif?f=fpa)
VN-site met SQL-injectiespuit gehackt
Nieuws van 13 augustus 2007
MySQL 5: eindelijk zakelijke pretentie?
Nieuws van 14 oktober 2005
MySQL 5.0 bèta brengt langverwachte features
Nieuws van 29 maart 2005
MySQL-installer gaat gebruikmaken van Microsoft-tool
Nieuws van 11 oktober 2004
MySQL stapt in gat dat Microsoft achterlaat
Nieuws van 14 april 2004
MySQL komt binnenkort met versie voor clusters
Nieuws van 17 maart 2004
MySQL lost licentieprobleem PHP op
Nieuws van 15 maart 2004
SAP en MySQL bundelen krachten in nieuwe dbserver
Nieuws van 25 mei 2003
MySQL database beschikbaar voor AMD64-platform
Nieuws van 21 mei 2003
Beveiligingslekken ontdekt in MySQL database-server
Nieuws van 18 december 2002
MySQL biedt ondersteuning voor transacties
Nieuws van 24 september 2002
IBM en Microsoft halen uit naar MySQL
Nieuws van 22 september 2002
Oracle en MySQL winnen eWeek database benchmark
Nieuws van 27 februari 2002
MySQL 4.0 gaat alpha
Nieuws van 16 oktober 2001
MySQL development team verklaart MySQL 3.23 stabiel
Nieuws van 23 januari 2001
MySQL remote access security bug
Nieuws van 9 februari 2000
MySQL nu Open Source
Nieuws van 30 augustus 1999
Reacties (24)
dat is zeker een goed idee maar de prijs is zeker niet laag en ik vraag me af hoe ze dat doen, een echte cracker heeft toch allerlei tools om dat te doen, of zitten die ingebouwd in dat progje.
eerst zien, dan geloven, maar aangezien ik niet het geld heb omdat te kopen, en voor mij (als fun programmeur) niet echt noodzakelijk is om te hebben, zal ik het wsl wel niet snel in actie zien
eerst zien, dan geloven, maar aangezien ik niet het geld heb omdat te kopen, en voor mij (als fun programmeur) niet echt noodzakelijk is om te hebben, zal ik het wsl wel niet snel in actie zien
Ik verwacht dat ze bijvoorbeeld op web-forms gewoon een aantal waarden invullen die probleemgevoelig zijn, zoals strings met single quotes, underscores etc. (allerlei combinaties van speciale karakters).ik vraag me af hoe ze dat doen
Dus in ieder geval een hoop algemene dingen die problemen kunnen opleveren, en natuurlijk 'known holes'. Of ze om kunnen gaan met 'unknown holes' weet ik niet, maar veel zullen wel varianten op de speciale karakters zijn netzoals veel exploits op buffer overflows gebaseerd zijn (die je in veel gevallen ook wel moet kunnen vinden met allerlei tooling)
Nu er een zwaar betaalde scanner voor MySQL komt, zal het wel niet lang duren voordat er een opensource scanner komt.. En dat is dan wel weer positief, er zijn vast een aantal programmeurs die het nu wel inzien van zo'n programma en de prijs belachelijk vinden, en bovendien hun eigen opties erin willen hebben.
Ik kijk al uit naar de freeware/GPL alternatieven
Ik kijk al uit naar de freeware/GPL alternatieven
/u/45865/crop62338715be02f.png?f=community){kind=small}
Dat lijkt me dus voor een dergelijk systeem niet handig omdat de eventuele hacker dan precies weet wáár de scanner allemaal op controleerd en zo eventuele 'vergeten' exploits kan gebruiken om binnen te komen...
tuurlijk niet! als iedereen zijn eigen programma kan optimaliseren, dm open source programmeren, voor zijn eigen pc kan zo'n hacker toch nooit weten waar de wijzigingen zijn plaatsgevonden?
Hoeveel stervelingen zullen in staat zijn om aan een dergelijk programma verder te programmeren 
(JohnnyV.nl heeft nog altijd weinig vertrouwen in open source/GNU. Ook het database-zijn van mysql laat ik vandaag maar even in het midden (is niet meer dan een verzameling tabellen))
(JohnnyV.nl heeft nog altijd weinig vertrouwen in open source/GNU. Ook het database-zijn van mysql laat ik vandaag maar even in het midden (is niet meer dan een verzameling tabellen))
Ten eerste: security through obscurity is no security. Ten tweede, als ze dan een exploit vergeten zijn, hoeft er maar 1 iemand in de open source wereld te zijn die dat wil en kan schrijven en het wordt toegevoegd. Ten derde: een cracker bouwt een server met een oude versie van apache, PHP en MySQL er op, laat de tool er op lost, krijgt een lijst van alle exploits die 'open' staan en weet waarop de tool checked. (Bovendien, zou het programma niet tijdens het testen op het scherm zetten 'now checking for usage of default passwords', 'now checking for buffer overflow this-and-that' enz.?)
/u/32637/crop677ea9d840dae_cropped.png?f=community){kind=small}
Idd. Zeker omdat MySQL ook al open source is. Dan maar wel hopen dat de freeware scanners en beveiligers ook goed zijn. En het niet af moeten leggen tegen de betaalde.
Wel trouwens apart, dat er voor een open source en gratis programma een betaalde scanner komt
Wel trouwens apart, dat er voor een open source en gratis programma een betaalde scanner komt
:strip_icc():strip_exif()/u/10274/crop67712295188a6_cropped.jpg?f=community){kind=small}
Zoals je kunt lezen is het voor meer dan alleen MySql. De titel is dan ook een beetje misleidend, en als je enkel MySql en de prijs ziet is het wat vaag. Als je ziet voor welke databases dit programma nog meer te gebruiken is, valt het best mee
zelfs als het niet andere DB's zou ondersteunen zou het nog niet gek zijn. Geef mij 1 enkele reden dat er niet een commercieel test pakket zou gemaakt kunnen worden voor een OpenSource en Gratis product als MySQL. (overigens ook niet helemaal waar, MySQL is dual-licensed). De GPL gebiedt namelijk niet dat software die tegen een GPL-programma aan kletsen ook GPL moet zijn. (gelukkig maar, want anders zouden Apache, PHP ook GPL moeten zijn en uiteindelijk IE en Windows ook want die kletsen ook weer tegen GPL (in dat geval) aan. Nu zitten Apache en PHP nog onder een BSD-style license)Wel trouwens apart, dat er voor een open source en gratis programma een betaalde scanner komt
het gaat erom of het pakket het geld waard is. Het is dom om aan te nemen dat iets gratis is omdat het tegen een 'gratis' product aankletst.
Daar kijk ik ook al naar uit,
veiligheid is namelijk erg belangrijk bij het beheer van data. Een database zonder beveiliging gebruiken is feitelijk gewoonweg niet verantwoord, want overal zit wel ergens gevoelige informatie in...
veiligheid is namelijk erg belangrijk bij het beheer van data. Een database zonder beveiliging gebruiken is feitelijk gewoonweg niet verantwoord, want overal zit wel ergens gevoelige informatie in...
:strip_exif()/u/57908/leo3.gif?f=community){kind=small}
AppDetective ondersteunt, naast MySQL (Beta), de volgende producten:
Oracle
Sybase
IBM DB2
Microsoft SQL Server
Lotus Notes/Domino
Web Applications (Beta)
Oracle Application Server (Beta)
Voor meer informatie aangaande AppDetective voor MySQL zie: AppDetective for MySQL
Eveneens is een Evaluatie versie te downloaden
Oracle
Sybase
IBM DB2
Microsoft SQL Server
Lotus Notes/Domino
Web Applications (Beta)
Oracle Application Server (Beta)
Voor meer informatie aangaande AppDetective voor MySQL zie: AppDetective for MySQL
Eveneens is een Evaluatie versie te downloaden
1295 dollar? Veel geld voor een scanner...
:strip_icc():strip_exif()/u/4444/icoon.jpg?f=community){kind=small}
IIG Goedkoper dan een keer gehackt worden en alle gegevens van minimaal een dag kwijtraken. Of voor gevoelige gegevens zoals creditcards en wachtwoorden e.d. 
Maar ik durf wel te wedden dat die scanner netjes een briefje erbij heeft waarop staat 'Deze tool kan echter geen 100% veiligheid geven...'.
En dan ben je er op zich nog niet veel mee.
En dan ben je er op zich nog niet veel mee.
:strip_icc():strip_exif()/u/19746/firewall.jpg?f=community){kind=small}
Dat is logisch.
Ze kunnen geen 100% geven dus zetten ze dat ook in een disclaimer.
Anders zouden gebruikers wel eens verhaal gaan halen bij hen als het toch zou fout gaan.
De bedoeling van die scanner is om het risico te verkleinen, niet te laten verdwijnen.
Dat maakt hem niet minder nuttig.
Ze kunnen geen 100% geven dus zetten ze dat ook in een disclaimer.
Anders zouden gebruikers wel eens verhaal gaan halen bij hen als het toch zou fout gaan.
De bedoeling van die scanner is om het risico te verkleinen, niet te laten verdwijnen.
Dat maakt hem niet minder nuttig.
:strip_icc():strip_exif()/u/46233/art_planet_60x60.jpg?f=community){kind=small}
Lijkt veel, maar voor bedrijven is zo'n bedrag vaak peanuts, vooral als het om zoiets belangrijks gaat...
:strip_icc():strip_exif()/u/4766/fotol2.jpg?f=community){kind=small}
Als dat voor een bedrijf in kwestie peanuts is waarom draaid dat bedrijf dan op MYsql. En niet op een Oracle/imb/sysbase etc oplossing?
:strip_exif()/u/4086/avatar3.gif?f=community){kind=avatar}
Iets meer dan duizend dollar of iets meer dan honderdduizend dollar is nogal een verschil. Dan kan ik begrijpen dat je liever MySQL draait als het dezelfde mogelijkheden biedt.
Is een hacker inhuren niet goedkoper/efficienter?Voor 1.295 dollar zullen de producten van eigenaar verwisselen.
:strip_icc():strip_exif()/u/10517/nwkoffie.jpg?f=community){kind=small}
Neen.
Hoewel een beetje bedrijf idd een audit laat uitvoeren door een professioneel bedrijf, is een scanner in weze goedkoper.
Ik denk dat je voor dit bedrag 1 tot 2 dagen kan laten auditten.
Voor dat bedrag koop je nu een scanner, en kun je na aanpassingen de scan wederom uitvoeren.
Ik denk dat als je de scanner icm auting bureaus doet, dat het een stuk in de kosten gaat schelen.
- Intern bouwen
- Intern scannen
- Intern debugen/evalueren
- Intern evtm .nogmaals scannen
- Internern event. weer evalueren
- etc.
- Auditting bureau inhuren
Persoonlijk denk ik dat je op de lange termijn *en* je kosten omlaag kunt krijgen *en* de aanschafkosten er zo uit hebt.
Hoewel een beetje bedrijf idd een audit laat uitvoeren door een professioneel bedrijf, is een scanner in weze goedkoper.
Ik denk dat je voor dit bedrag 1 tot 2 dagen kan laten auditten.
Voor dat bedrag koop je nu een scanner, en kun je na aanpassingen de scan wederom uitvoeren.
Ik denk dat als je de scanner icm auting bureaus doet, dat het een stuk in de kosten gaat schelen.
- Intern bouwen
- Intern scannen
- Intern debugen/evalueren
- Intern evtm .nogmaals scannen
- Internern event. weer evalueren
- etc.
- Auditting bureau inhuren
Persoonlijk denk ik dat je op de lange termijn *en* je kosten omlaag kunt krijgen *en* de aanschafkosten er zo uit hebt.
Tot de voor laatste regel vond ik het een leuk programma. 
[typo]
[typo]
precies wat ik dacht
Vind het wel mooi initiatief en ben benieuwd hoe de scanner voor webapplicaties in zijn werk gaat
Vind het wel mooi initiatief en ben benieuwd hoe de scanner voor webapplicaties in zijn werk gaat
Op dit item kan niet meer gereageerd worden.