'XSS meest voorkomende aanvalsvorm online'

Volgens de onderzoeksresultaten van de Amerikaanse overheidsinstelling Mitre behoort de buffer overflow niet meer tot de meest voorkomende manier van aanvallen over het internet. De relatief ingewikkelde vorm van hacken middels geheugencorruptie is vervangen door het eenvoudigere Cross Site Scripting, afgekort tot XSS, en SQL injection. In dit jaar behoorde tot nu toe 21,5 procent van alle digitale aanvallen tot de XSS-categorie en 14 procent bestond uit SQL-injectieaanvallen. De buffer overflows zijn naar de vierde plaats geduwd met een magere 7,9 procent. Robert Martin, analist van Mitre, had deze resultaten niet verwacht omdat er volgens hem geen duidelijke omslag was waargenomen in het gedrag van hackers. Matt Fisher, beveiligingsexpert bij SPI Dynamics, verklaart dat de criminelen aangetrokken worden door de eenvoud van de aanval. Martin vult hierop aan dat de buffer overflow een typisch verschijnsel is uit de C-programmeertaal, terwijl tegenwoordig de aandacht steeds meer uitgaat naar ontwikkelomgevingen als .NET, Java en PHP voor online toepassingen.

Het beveiligingsbedrijf Sophos is overigens sceptisch over de resultaten. Het heeft geen bijzondere verschuivingen gezien in de manieren waarop kwaadwillende hackers webservers binnendringen. Daarom vraagt Sophos zich af hoe de gevonden resultaten zijn gecorrelleerd met de ernst van de kwetsbaarheden en de softwarepakketten waarin ze voorkomen. 'Het gevaar bestaat dat [Mitre] appels met peren aan het vergelijken is', mijmert Graham Cluley, adviseur bij Sophos. Volgens hem zijn er veel beveiligingsproblemen te vinden in de applicaties van kleinere partijen, maar die hebben een kleinere impact op de internetsamenleving dan gaten in veelgebruikte software als Apache en Microsoft's Internet Information Services. Aanvallen als XSS en SQL-injectie komen veel voor bij kleinere serveroplossingen, terwijl de grotere pakketten minder geneigd zijn om vatbaar te zijn voor dit soort triviale hacks. Doordat in het onderzoek van Mitre de kleinere applicaties even zwaar meetellen als de grote, zijn de onderzoeksresultaten volgens hem vertekend. 'Er zijn meer kleine .NET-, Java- en PHP-webapplicaties voor blogs en hosting dan online softwarepakketten die op C gebaseerd zijn', aldus Cluley.

XSS Example (smaller)
Voorbeeld van een Cross Server Scripting-aanval

Door Bart Veldstra

Freelance Nieuwsposter

Feedback • 18-09-2006 14:44 23

18-09-2006 • 14:44

23

Bron: Dark Reading

Lees meer

'Omroep Llink laat ledenbestand uitlekken'
'Omroep Llink laat ledenbestand uitlekken' Nieuws van 8 juni 2011
Hackers verspreiden scareware via massale aanval
Hackers verspreiden scareware via massale aanval Nieuws van 1 april 2011
Google geeft les in websitebeveiliging
Google geeft les in websitebeveiliging Nieuws van 5 mei 2010
Hackers bemachtigen wachtwoorden Apache Foundation
Hackers bemachtigen wachtwoorden Apache Foundation Nieuws van 14 april 2010
StalkDaily-worm infecteert Twitter
StalkDaily-worm infecteert Twitter Nieuws van 12 april 2009
Onderzoeker ontdekt nieuw lek in MySpace
Onderzoeker ontdekt nieuw lek in MySpace Nieuws van 9 november 2007
XSS-exploit door Microsoft betiteld als 'by design'
XSS-exploit door Microsoft betiteld als 'by design' Nieuws van 22 mei 2007
'Veel websites kwetsbaar voor hackaanvallen'
'Veel websites kwetsbaar voor hackaanvallen' Nieuws van 14 februari 2007
Veiligheidsspecialist PHP stopt ermee
Veiligheidsspecialist PHP stopt ermee Nieuws van 14 december 2006
Nederlandse tiener ontdekt lek in Microsofts Live-dienst
Nederlandse tiener ontdekt lek in Microsofts Live-dienst Nieuws van 4 juli 2006
Nederlanders vinden lekken in Internet Explorer en Google
Nederlanders vinden lekken in Internet Explorer en Google Nieuws van 21 maart 2006
Nieuwe cross-site scripting phishingtechniek ontdekt
Nieuwe cross-site scripting phishingtechniek ontdekt Nieuws van 19 juli 2004
Meer producten en artikelen
Bedrijfsnieuws

Reacties (23)

-Moderatie-faq
23
21
13
6
1
0
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 18 september 2006 15:10
Gelukkig werkt inspelen op de domheid van mensen nog steeds het beste als je ergens wilt inbreken.

[bank logo]
"Meneer wij hebben bij de bank even uw codes nodig, want er is een probleem"
[bank logo]

Owhh nouwh dan loggen we toch even voor u in, want ja we willen allemaal goed meewerken met de bank, je weet inmiddels maar nooit...

Goed, wat Sophos zegt kan wel waar zijn, maar wie zegt mij niet dat men vanuit die XSS hacks weer andere hacks kunnen uitvoeren en dan is de impact juist misschien nog wel groter.

Kortom, je kan altijd overal wel een vraagteken bij zetten. Maar als men vorig jaar ook op dezelfde manier het gemeten hebben, dan zal een verschil toch een verschil zijn met vorig jaar..
Verwijderd @Verwijderd18 september 2006 15:53
Het is misschien ook relevant dat Sophos geen software verkoopt die je beschermt tegen XSS aanvallen maar wel software tegen wormen die gebruiken maken van bufferoverflows.
Splorky @Verwijderd18 september 2006 16:25
over domheid van mensen gesproken
helpdesk> gedemiddag waar kan ik u mee van dienst zijn
gebruiker> ik kan niet meer op internet komen, en mijn gebruikersnaam en wachtwoord zijn ....
heldesk> ... DOH
merethan @Verwijderd18 september 2006 17:29
Because there's no patch for human stupidity.
OkkE 18 september 2006 15:53
Offtopic misschien, maar het grootste gevaar is imho nog steeds de gebruiker zelf. Stel..

1. Ik maak de inlog-pagina van Hotmail na (Save Page As..) en laat 'm verwijzen naar een pagina die de login-gegevens opslaat in een database, en dan terug gaat naar de echte Hotmail.

2. Stuur vrienden, bekende en onbekende een mailtje met de link naar mijn pagina en de tekst: "Moet je deze nieuwe functies in Hotmail eens bekijken!!!".

3. Tada! Weer een X aantal hotmail gegevens erbij.

-- edit --

@Faramir:
Kom je weer terug bij die discussie. Ik mag toch ook pas in een auto rijden als ik bewezen heb er verstandig en veilig mee om te kunnen gaan.
Als iemand zonder rijbewijs in een auto stapt en een ongeluk veroorzaakt, zeggen we dan ook "ohh maar hij kon niet weten dat wat hij deed gevaarlijk was..". :/
Ezechiel @OkkE18 september 2006 16:01
Ben ik op zich met je eens. Maar lang niet iedereen is bekend met het fenomeen phising, dus die kan je het ook niet kwalijk nemen, en dus ook niet de schuld geven imo..
Bosmonster @OkkE18 september 2006 17:45
Heeft alleen niet zoveel met XSS te maken ;)
Verwijderd 18 september 2006 16:07
Volgens hem zijn er veel beveiligingsproblemen te vinden in de applicaties van kleinere partijen, maar die hebben een kleinere impact op de internetsamenleving dan gaten in veelgebruikte software als Apache en Microsoft's Internet Information Services.
Alleen horen Apache en IIS 6.0 tot de meest stabiele en minst gekraakte programma's die er zijn, terwijl de veelheid aan applicaties die er op die webservers draaien juist om de haverklap in het nieuws komen vanwege lekken (met name forumsoftware content management systemen).
Verwijderd 18 september 2006 15:20
Een werkende manier om je site te beschermen tegen XSS is bij Userinput, de Dubbelepunt( : ) vervangen door een Puntkomma( ; )
En de varianten hiervan: &#58 / %3A / :
Hierdoor kan javascript niet meer worden gestart.

Een werkende manier om naderhand MySQL Injection tegen te gaan, is het script afbreken wanneer een enkele(') of dubbele quote(") wordt gebruikt in de url..

Een beetje een vieze manier, maar het werkt wel.. Op een grote site die ik heb proberen mensen het regelmatig, en het lukt ze niet meer..
Milt @Verwijderd18 september 2006 16:50
Dat is echt ruim onvoldoende om je site te wapenen tegen XSS. Eigenlijk is de output belangrijker dan de input. Je moet alle output encoden naar HTML en dus zorgen dat het onmogelijk is om HTML tags te laten plaatsen. Met jouw methode kan ik nog steeds dit invoeren: <script> alert(document.cookie) </script>
Als ik dit post op een forum ofzo, dan wordt vervolgens bij iedereen die mijn bericht leest de cookies getoond. Nog niet spannend, maar als je ze kan alert'en, kan een hacker ze ook heel simpel posten naar zijn website waarmee hij mogelijk waardevole informatie te weten kan komen.

Voor SQL injection is afbreken van het script op enkele of dubbele quotes natuurlijk geen oplossing. Met name de enkele quote wordt in schrijftaal best nog wel veel gebruikt (vooral in Engels). Je moet gewoon ieder karakter waar de SQL parser een speciale betekenis aangeeft escapen. Of nog beter, gebruik stored procedures in combinatie met een goede database layer (bijv. ADO / ADO.NET op Windows) en dan heb je helemaal geen last meer van SQL injection.
Verwijderd @Milt18 september 2006 18:11
Als je van scratch een site maakt, moet je natuurlijk het op de nette manier doen.

Maar als je nu een site online hebt staan, die xss/sql-injection gevoelig is, is dit een snelle manier om even in de header te includen..
Duizenden variablen netjes mysql_enscapen is nogal een tijdrovende klus..

HTML tekens moeten uiteraard gefilterd worden idd.. Maar ik ga er al vanuit dat iedereen dat bij elke site doet.
Olaf van der Spek @Verwijderd18 september 2006 16:10
Op een grote site die ik heb proberen mensen het regelmatig, en het lukt ze niet meer..
Vroeger lukte het dus wel? :(
Bosmonster @Verwijderd18 september 2006 15:27
xss gaat iets verder dan javascript: invoeren helaas

En je database input moet je gewoon altijd goed escapen (bijvoorbeeld mysql_real_escape_string) en je hebt nergens last van.
crisp Senior Developer @Verwijderd18 september 2006 16:27
Je vergeet o.a.:
&#058 ;
&#0058 ;
&#00058 ;
&#000058 ;
&#0000058 ;
&#00000058 ;
&#x3a ;
&#x03a ;
&#x003a ;
&#x0003a ;
&#x00003a ;
&#x000003a ;
&#x0000003a ;

oftewel: zo simpel is het niet ;)
humbug @Verwijderd18 september 2006 17:28
yakkes! Dit is vies!

Sorry hoor maar er zijn veel betere manieren om dit soort zaken te voorkomen. Zo heeft elke SQL implementaties parameters. Daarmee kun je SQL injection simpel en netjes voorkomen.
Verwijderd 18 september 2006 19:38
Matt Fisher, beveiligingsexpert bij SPI Dynamics, verklaart dat de criminelen aangetrokken worden door de eenvoud van de aanval. Martin vult hierop aan dat de buffer overflow een typisch verschijnsel is uit de C-programmeertaal, terwijl tegenwoordig de aandacht steeds meer uitgaat naar ontwikkelomgevingen als .NET, Java en PHP voor online toepassingen.
offtopic:
Mr Fisher heeft wel z'n naam mee...


Ik vermoed eigenlijk dat er een stuk meer bufferoverflow exploits op de markt zijn dan XSS exploits. Ook voor de 'hacker' zijn deze vaak makkelijker te gebruiken. Wel is het zo dat XSS vaak meer 'oplevert'. Ik vermoed dat dit een belangrijke reden is waarom XSS zo populair is. Waarom SQL-injection zo populair is lijkt me duidelijk }>
Verwijderd 18 september 2006 15:25
nou ik weet het niet.
ik heb het er met vrienden wel eens over maar die zeggen ook dat beveiligingen eigenlijk alleen maar gemaakt worden om weer 1 week geen last te hebben van inbraken.

dus volgens mij zijn ze alleen tijd aan het rekken want niks is perfect te beveiligen.
:Z
Verwijderd 18 september 2006 15:26
gewoon een command object gebruiken in .NET met parameters,
Verwijderd 18 september 2006 15:38
gewoon je computer verkopen en nooit meer op internet gaan. en alle briefen altijd zelf persoonlijk afleveren. :Z
Verwijderd @Verwijderd18 september 2006 14:57
Ze geven geen getallen weer of persentages voor hoeveelheid. Ze geven alleen aan dat er nu een andere soort hacken boven aan staat.

Hackers zijn vrijwel altijd slecht. Behalve die dingen melden dus zo meehelpen aan een waterdicht systeem.
Ad- @Verwijderd18 september 2006 14:59
Ehhh... ergens geen verstand van hebben is slecht ?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq