Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties
Bron: eWeek, submitter: Longbeard

Application Security logoHet Amerikaanse bedrijf Application Security Inc. heeft programma's ontwikkeld waarmee de populaire databaseserver MySQL en webapplicaties onderzocht kunnen worden op veiligheidsproblemen. De programma's hebben de namen AppDetective for Web Applications en AppDetective for MySQL meegekregen. Webapplicaties en hun back end, de database, kunnen een gemakkelijk weg naar binnen vormen voor kwaadwillenden. Met deze programma's kunnen webtoepassingen getest worden op onder andere SQL injections, parameter manipulation en meer. Voor MySQL worden een aantal testen geleverd om onder andere de sterkte van wachtwoorden te testen evenals een mogelijkheid om te testen hoe de database reageert op een Denial of Service-aanval. Voor 1.295 dollar zullen de producten van eigenaar verwisselen.

Moderatie-faq Wijzig weergave

Reacties (24)

dat is zeker een goed idee maar de prijs is zeker niet laag en ik vraag me af hoe ze dat doen, een echte cracker heeft toch allerlei tools om dat te doen, of zitten die ingebouwd in dat progje.
eerst zien, dan geloven, maar aangezien ik niet het geld heb omdat te kopen, en voor mij (als fun programmeur) niet echt noodzakelijk is om te hebben, zal ik het wsl wel niet snel in actie zien
ik vraag me af hoe ze dat doen
Ik verwacht dat ze bijvoorbeeld op web-forms gewoon een aantal waarden invullen die probleemgevoelig zijn, zoals strings met single quotes, underscores etc. (allerlei combinaties van speciale karakters).

Dus in ieder geval een hoop algemene dingen die problemen kunnen opleveren, en natuurlijk 'known holes'. Of ze om kunnen gaan met 'unknown holes' weet ik niet, maar veel zullen wel varianten op de speciale karakters zijn netzoals veel exploits op buffer overflows gebaseerd zijn (die je in veel gevallen ook wel moet kunnen vinden met allerlei tooling)
Nu er een zwaar betaalde scanner voor MySQL komt, zal het wel niet lang duren voordat er een opensource scanner komt.. En dat is dan wel weer positief, er zijn vast een aantal programmeurs die het nu wel inzien van zo'n programma en de prijs belachelijk vinden, en bovendien hun eigen opties erin willen hebben.
Ik kijk al uit naar de freeware/GPL alternatieven
Dat lijkt me dus voor een dergelijk systeem niet handig omdat de eventuele hacker dan precies weet wr de scanner allemaal op controleerd en zo eventuele 'vergeten' exploits kan gebruiken om binnen te komen...
tuurlijk niet! als iedereen zijn eigen programma kan optimaliseren, dm open source programmeren, voor zijn eigen pc kan zo'n hacker toch nooit weten waar de wijzigingen zijn plaatsgevonden?
Hoeveel stervelingen zullen in staat zijn om aan een dergelijk programma verder te programmeren :?

(JohnnyV.nl heeft nog altijd weinig vertrouwen in open source/GNU. Ook het database-zijn van mysql laat ik vandaag maar even in het midden (is niet meer dan een verzameling tabellen))
Ten eerste: security through obscurity is no security. Ten tweede, als ze dan een exploit vergeten zijn, hoeft er maar 1 iemand in de open source wereld te zijn die dat wil en kan schrijven en het wordt toegevoegd. Ten derde: een cracker bouwt een server met een oude versie van apache, PHP en MySQL er op, laat de tool er op lost, krijgt een lijst van alle exploits die 'open' staan en weet waarop de tool checked. (Bovendien, zou het programma niet tijdens het testen op het scherm zetten 'now checking for usage of default passwords', 'now checking for buffer overflow this-and-that' enz.?)
Idd. Zeker omdat MySQL ook al open source is. Dan maar wel hopen dat de freeware scanners en beveiligers ook goed zijn. En het niet af moeten leggen tegen de betaalde.

Wel trouwens apart, dat er voor een open source en gratis programma een betaalde scanner komt ;)
Zoals je kunt lezen is het voor meer dan alleen MySql. De titel is dan ook een beetje misleidend, en als je enkel MySql en de prijs ziet is het wat vaag. Als je ziet voor welke databases dit programma nog meer te gebruiken is, valt het best mee ;)
Wel trouwens apart, dat er voor een open source en gratis programma een betaalde scanner komt
zelfs als het niet andere DB's zou ondersteunen zou het nog niet gek zijn. Geef mij 1 enkele reden dat er niet een commercieel test pakket zou gemaakt kunnen worden voor een OpenSource en Gratis product als MySQL. (overigens ook niet helemaal waar, MySQL is dual-licensed). De GPL gebiedt namelijk niet dat software die tegen een GPL-programma aan kletsen ook GPL moet zijn. (gelukkig maar, want anders zouden Apache, PHP ook GPL moeten zijn en uiteindelijk IE en Windows ook want die kletsen ook weer tegen GPL (in dat geval) aan. Nu zitten Apache en PHP nog onder een BSD-style license)

het gaat erom of het pakket het geld waard is. Het is dom om aan te nemen dat iets gratis is omdat het tegen een 'gratis' product aankletst.
Daar kijk ik ook al naar uit,

veiligheid is namelijk erg belangrijk bij het beheer van data. Een database zonder beveiliging gebruiken is feitelijk gewoonweg niet verantwoord, want overal zit wel ergens gevoelige informatie in...
AppDetective ondersteunt, naast MySQL (Beta), de volgende producten:

Oracle
Sybase
IBM DB2
Microsoft SQL Server
Lotus Notes/Domino
Web Applications (Beta)
Oracle Application Server (Beta)

Voor meer informatie aangaande AppDetective voor MySQL zie: AppDetective for MySQL

Eveneens is een Evaluatie versie te downloaden
1295 dollar? Veel geld voor een scanner...
IIG Goedkoper dan een keer gehackt worden en alle gegevens van minimaal een dag kwijtraken. Of voor gevoelige gegevens zoals creditcards en wachtwoorden e.d. :)
Maar ik durf wel te wedden dat die scanner netjes een briefje erbij heeft waarop staat 'Deze tool kan echter geen 100% veiligheid geven...'.

En dan ben je er op zich nog niet veel mee.
Dat is logisch.
Ze kunnen geen 100% geven dus zetten ze dat ook in een disclaimer.
Anders zouden gebruikers wel eens verhaal gaan halen bij hen als het toch zou fout gaan.

De bedoeling van die scanner is om het risico te verkleinen, niet te laten verdwijnen.

Dat maakt hem niet minder nuttig.
Lijkt veel, maar voor bedrijven is zo'n bedrag vaak peanuts, vooral als het om zoiets belangrijks gaat...
Als dat voor een bedrijf in kwestie peanuts is waarom draaid dat bedrijf dan op MYsql. En niet op een Oracle/imb/sysbase etc oplossing?
Iets meer dan duizend dollar of iets meer dan honderdduizend dollar is nogal een verschil. Dan kan ik begrijpen dat je liever MySQL draait als het dezelfde mogelijkheden biedt.
Voor 1.295 dollar zullen de producten van eigenaar verwisselen.
Is een hacker inhuren niet goedkoper/efficienter? 8-)
Neen.

Hoewel een beetje bedrijf idd een audit laat uitvoeren door een professioneel bedrijf, is een scanner in weze goedkoper.

Ik denk dat je voor dit bedrag 1 tot 2 dagen kan laten auditten.

Voor dat bedrag koop je nu een scanner, en kun je na aanpassingen de scan wederom uitvoeren.

Ik denk dat als je de scanner icm auting bureaus doet, dat het een stuk in de kosten gaat schelen.

- Intern bouwen
- Intern scannen
- Intern debugen/evalueren
- Intern evtm .nogmaals scannen
- Internern event. weer evalueren
- etc.
- Auditting bureau inhuren

Persoonlijk denk ik dat je op de lange termijn *en* je kosten omlaag kunt krijgen *en* de aanschafkosten er zo uit hebt.
Tot de voor laatste regel vond ik het een leuk programma. :'(

[typo]
precies wat ik dacht :)

Vind het wel mooi initiatief en ben benieuwd hoe de scanner voor webapplicaties in zijn werk gaat

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True