Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties
Bron: Dark Reading

Volgens de onderzoeksresultaten van de Amerikaanse overheidsinstelling Mitre behoort de buffer overflow niet meer tot de meest voorkomende manier van aanvallen over het internet. De relatief ingewikkelde vorm van hacken middels geheugencorruptie is vervangen door het eenvoudigere Cross Site Scripting, afgekort tot XSS, en SQL injection. In dit jaar behoorde tot nu toe 21,5 procent van alle digitale aanvallen tot de XSS-categorie en 14 procent bestond uit SQL-injectieaanvallen. De buffer overflows zijn naar de vierde plaats geduwd met een magere 7,9 procent. Robert Martin, analist van Mitre, had deze resultaten niet verwacht omdat er volgens hem geen duidelijke omslag was waargenomen in het gedrag van hackers. Matt Fisher, beveiligingsexpert bij SPI Dynamics, verklaart dat de criminelen aangetrokken worden door de eenvoud van de aanval. Martin vult hierop aan dat de buffer overflow een typisch verschijnsel is uit de C-programmeertaal, terwijl tegenwoordig de aandacht steeds meer uitgaat naar ontwikkelomgevingen als .NET, Java en PHP voor online toepassingen.

Het beveiligingsbedrijf Sophos is overigens sceptisch over de resultaten. Het heeft geen bijzondere verschuivingen gezien in de manieren waarop kwaadwillende hackers webservers binnendringen. Daarom vraagt Sophos zich af hoe de gevonden resultaten zijn gecorrelleerd met de ernst van de kwetsbaarheden en de softwarepakketten waarin ze voorkomen. 'Het gevaar bestaat dat [Mitre] appels met peren aan het vergelijken is', mijmert Graham Cluley, adviseur bij Sophos. Volgens hem zijn er veel beveiligingsproblemen te vinden in de applicaties van kleinere partijen, maar die hebben een kleinere impact op de internetsamenleving dan gaten in veelgebruikte software als Apache en Microsoft's Internet Information Services. Aanvallen als XSS en SQL-injectie komen veel voor bij kleinere serveroplossingen, terwijl de grotere pakketten minder geneigd zijn om vatbaar te zijn voor dit soort triviale hacks. Doordat in het onderzoek van Mitre de kleinere applicaties even zwaar meetellen als de grote, zijn de onderzoeksresultaten volgens hem vertekend. 'Er zijn meer kleine .NET-, Java- en PHP-webapplicaties voor blogs en hosting dan online softwarepakketten die op C gebaseerd zijn', aldus Cluley.

XSS Example (smaller)
Voorbeeld van een Cross Server Scripting-aanval
Moderatie-faq Wijzig weergave

Reacties (23)

Gelukkig werkt inspelen op de domheid van mensen nog steeds het beste als je ergens wilt inbreken.

[bank logo]
"Meneer wij hebben bij de bank even uw codes nodig, want er is een probleem"
[bank logo]

Owhh nouwh dan loggen we toch even voor u in, want ja we willen allemaal goed meewerken met de bank, je weet inmiddels maar nooit...

Goed, wat Sophos zegt kan wel waar zijn, maar wie zegt mij niet dat men vanuit die XSS hacks weer andere hacks kunnen uitvoeren en dan is de impact juist misschien nog wel groter.

Kortom, je kan altijd overal wel een vraagteken bij zetten. Maar als men vorig jaar ook op dezelfde manier het gemeten hebben, dan zal een verschil toch een verschil zijn met vorig jaar..
Het is misschien ook relevant dat Sophos geen software verkoopt die je beschermt tegen XSS aanvallen maar wel software tegen wormen die gebruiken maken van bufferoverflows.
over domheid van mensen gesproken
helpdesk> gedemiddag waar kan ik u mee van dienst zijn
gebruiker> ik kan niet meer op internet komen, en mijn gebruikersnaam en wachtwoord zijn ....
heldesk> ... DOH
Because there's no patch for human stupidity.
Offtopic misschien, maar het grootste gevaar is imho nog steeds de gebruiker zelf. Stel..

1. Ik maak de inlog-pagina van Hotmail na (Save Page As..) en laat 'm verwijzen naar een pagina die de login-gegevens opslaat in een database, en dan terug gaat naar de echte Hotmail.

2. Stuur vrienden, bekende en onbekende een mailtje met de link naar mijn pagina en de tekst: "Moet je deze nieuwe functies in Hotmail eens bekijken!!!".

3. Tada! Weer een X aantal hotmail gegevens erbij.

-- edit --

@Faramir:
Kom je weer terug bij die discussie. Ik mag toch ook pas in een auto rijden als ik bewezen heb er verstandig en veilig mee om te kunnen gaan.
Als iemand zonder rijbewijs in een auto stapt en een ongeluk veroorzaakt, zeggen we dan ook "ohh maar hij kon niet weten dat wat hij deed gevaarlijk was..". :/
Ben ik op zich met je eens. Maar lang niet iedereen is bekend met het fenomeen phising, dus die kan je het ook niet kwalijk nemen, en dus ook niet de schuld geven imo..
Heeft alleen niet zoveel met XSS te maken ;)
Volgens hem zijn er veel beveiligingsproblemen te vinden in de applicaties van kleinere partijen, maar die hebben een kleinere impact op de internetsamenleving dan gaten in veelgebruikte software als Apache en Microsoft's Internet Information Services.
Alleen horen Apache en IIS 6.0 tot de meest stabiele en minst gekraakte programma's die er zijn, terwijl de veelheid aan applicaties die er op die webservers draaien juist om de haverklap in het nieuws komen vanwege lekken (met name forumsoftware content management systemen).
Een werkende manier om je site te beschermen tegen XSS is bij Userinput, de Dubbelepunt( : ) vervangen door een Puntkomma( ; )
En de varianten hiervan: &#58 / %3A / :
Hierdoor kan javascript niet meer worden gestart.

Een werkende manier om naderhand MySQL Injection tegen te gaan, is het script afbreken wanneer een enkele(') of dubbele quote(") wordt gebruikt in de url..

Een beetje een vieze manier, maar het werkt wel.. Op een grote site die ik heb proberen mensen het regelmatig, en het lukt ze niet meer..
Dat is echt ruim onvoldoende om je site te wapenen tegen XSS. Eigenlijk is de output belangrijker dan de input. Je moet alle output encoden naar HTML en dus zorgen dat het onmogelijk is om HTML tags te laten plaatsen. Met jouw methode kan ik nog steeds dit invoeren: <script> alert(document.cookie) </script>
Als ik dit post op een forum ofzo, dan wordt vervolgens bij iedereen die mijn bericht leest de cookies getoond. Nog niet spannend, maar als je ze kan alert'en, kan een hacker ze ook heel simpel posten naar zijn website waarmee hij mogelijk waardevole informatie te weten kan komen.

Voor SQL injection is afbreken van het script op enkele of dubbele quotes natuurlijk geen oplossing. Met name de enkele quote wordt in schrijftaal best nog wel veel gebruikt (vooral in Engels). Je moet gewoon ieder karakter waar de SQL parser een speciale betekenis aangeeft escapen. Of nog beter, gebruik stored procedures in combinatie met een goede database layer (bijv. ADO / ADO.NET op Windows) en dan heb je helemaal geen last meer van SQL injection.
Als je van scratch een site maakt, moet je natuurlijk het op de nette manier doen.

Maar als je nu een site online hebt staan, die xss/sql-injection gevoelig is, is dit een snelle manier om even in de header te includen..
Duizenden variablen netjes mysql_enscapen is nogal een tijdrovende klus..

HTML tekens moeten uiteraard gefilterd worden idd.. Maar ik ga er al vanuit dat iedereen dat bij elke site doet.
Op een grote site die ik heb proberen mensen het regelmatig, en het lukt ze niet meer..
Vroeger lukte het dus wel? :(
xss gaat iets verder dan javascript: invoeren helaas

En je database input moet je gewoon altijd goed escapen (bijvoorbeeld mysql_real_escape_string) en je hebt nergens last van.
Je vergeet o.a.:
&#058 ;
&#0058 ;
&#00058 ;
&#000058 ;
&#0000058 ;
&#00000058 ;
&#x3a ;
&#x03a ;
&#x003a ;
&#x0003a ;
&#x00003a ;
&#x000003a ;
&#x0000003a ;

oftewel: zo simpel is het niet ;)
yakkes! Dit is vies!

Sorry hoor maar er zijn veel betere manieren om dit soort zaken te voorkomen. Zo heeft elke SQL implementaties parameters. Daarmee kun je SQL injection simpel en netjes voorkomen.
Matt Fisher, beveiligingsexpert bij SPI Dynamics, verklaart dat de criminelen aangetrokken worden door de eenvoud van de aanval. Martin vult hierop aan dat de buffer overflow een typisch verschijnsel is uit de C-programmeertaal, terwijl tegenwoordig de aandacht steeds meer uitgaat naar ontwikkelomgevingen als .NET, Java en PHP voor online toepassingen.
offtopic:
Mr Fisher heeft wel z'n naam mee...


Ik vermoed eigenlijk dat er een stuk meer bufferoverflow exploits op de markt zijn dan XSS exploits. Ook voor de 'hacker' zijn deze vaak makkelijker te gebruiken. Wel is het zo dat XSS vaak meer 'oplevert'. Ik vermoed dat dit een belangrijke reden is waarom XSS zo populair is. Waarom SQL-injection zo populair is lijkt me duidelijk }>
nou ik weet het niet.
ik heb het er met vrienden wel eens over maar die zeggen ook dat beveiligingen eigenlijk alleen maar gemaakt worden om weer 1 week geen last te hebben van inbraken.

dus volgens mij zijn ze alleen tijd aan het rekken want niks is perfect te beveiligen.
:Z
gewoon een command object gebruiken in .NET met parameters,
gewoon je computer verkopen en nooit meer op internet gaan. en alle briefen altijd zelf persoonlijk afleveren. :Z
Ze geven geen getallen weer of persentages voor hoeveelheid. Ze geven alleen aan dat er nu een andere soort hacken boven aan staat.

Hackers zijn vrijwel altijd slecht. Behalve die dingen melden dus zo meehelpen aan een waterdicht systeem.
Ehhh... ergens geen verstand van hebben is slecht ?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True