image

"70% van alle websites direct te hacken"

dinsdag 13 februari 2007, 13:19 door Redactie, 23 reacties

Bijna 70% van alle websites op het internet loopt gevaar om direct gehackt te worden, zo blijkt uit onderzoek. De kwetsbare websites hebben te maken met ernstige en zeer ernstige beveiligingslekken, die zeer waarschijnlijk door hackers ontdekt en misbruikt worden. Aanvallers kunnen de lekken misbruiken voor bijvoorbeeld het stelen van vertrouwelijke informatie.

Bij 91% van deze websites werd problemen zoals SQL injectie en Cross-Site Scripting aangetroffen, maar ook minder gevaarlijke zaken zoals "local path disclosure" en "directory listing" komen voor. Gemiddeld werden er 66 lekken per website gevonden, waardoor het totaal voor 3200 onderzochte sites op 210.000 kwam.

Vijftig procent van de websites is kwetsbaar voor SQL injectie, en 42% heeft te maken met Cross-Site Scripting. Andere ernstige problemen die werden aangetroffen bestaan uit Blind SQL Injection,CRLF Injection, HTTP response splitting en "script source code disclosure".

"De resultaten laten duidelijk zien dat het probleem van onveilige webapplicaties compleet genegeerd worden" zegt Kevin Vella van Acunetix.

Reacties (23)
13-02-2007, 14:12 door Anoniem
Dit is geen nieuws maar reclame voor een veel te duur product!
13-02-2007, 14:19 door Anoniem
Door Anoniem
Dit is geen nieuws maar reclame voor een veel te duur product!

Is dit niet een klein beetje overdreven? Op het laatst wordt pas een
bedrijfsnaam genoemd. Reclame? Nou nee.
13-02-2007, 14:59 door Anoniem
Door Anoniem
Door Anoniem
Dit is geen nieuws maar reclame voor een veel te duur product!

Is dit niet een klein beetje overdreven? Op het laatst wordt
pas een
bedrijfsnaam genoemd. Reclame? Nou nee.
Zo heeft Bush toch ook de invasie van Irak geregeld. Mensen
eerst bang maken voor een groot gevaar en ze dan de helpende
hand bieden. En achteraf met allerlei nuancering komen, van
"het viel eigenlijk wel mee."

Waarschijnlijk gebruiken ze hetzelfde reclamebureau die deze
truc goed weet uit te venten.
13-02-2007, 15:01 door Anoniem
Door Anoniem
Door Anoniem
Dit is geen nieuws maar reclame voor een veel te duur product!

Is dit niet een klein beetje overdreven? Op het laatst wordt pas een
bedrijfsnaam genoemd. Reclame? Nou nee.

Nee, acunetix is het meest achterlijke product ooit. Met reclames
als "STAAT UW POORT 80 WIJD OPEN?!?!!?" proberen ze de gewone man
bang te maken. Kom op mensen, webapp vulns zijn d'r idd veel, maar
acunetix vind d'r nog geen 3..
13-02-2007, 15:16 door Anoniem
Ik vind het toch een prima product. Gebruik het regelmatig en werkt prima.
Moet wel zeggen dat vooral php sites vaak lek zijn.
13-02-2007, 15:26 door G-Force
Dit is geen nieuws maar reclame voor een veel te duur
product!


Straks kan je alles wel reclame noemen...
13-02-2007, 15:50 door Anoniem
ik begrijp nog steeds niet goed hoe 'scriptkiddies' (noem ik
ze maar even) informatie krijgen via SQL injection. Ja, ik
weet dat je bijv met ' en " een query afsluit en je met ; en
daarachter weer een query een query kan laten uitvoeren.

Maar hoe kunnen ze daar dan gebruik van maken om informatie
uit de database te krijgen, of je database schade aan te
richten zonder dat ze het datamodel kennen? Zou iemand dat
mij kunnen uitleggen, dan heb ik meer informatie om alles
tegen te gaan en begrijp ik er wat meer van.
13-02-2007, 16:42 door Anoniem
is dat niet de definitie van free publicity ??
13-02-2007, 16:48 door Anoniem
Er zijn volgens Netcraft 108,810,358 websites actief per
Februari 2007... een survey van 3200 sites (nog niet eens 1
procent van het geheel!) lijkt mij dan niet echt
representatief, iets wat elk onderzoek dient te zijn!

-Jeroen
13-02-2007, 18:01 door Anoniem
Heerlijk, van die loze opmerkingen in artikelen waarbij gevolgen en risico's
niet worden benoemd.
13-02-2007, 18:16 door Anoniem
Dat krijg je door de wildgroei aan webbouwers. Maar probeer je
maar eens te onderscheiden op dit gebied. De scripters
snappen het al niet, hoe leg je het een klant uit? Vooral als ze
komen met argumenten als "Wat valt er nou op mijn website te
hacken?"
13-02-2007, 18:23 door Mameomowskwooz
Er zijn tal van mogelijkheden een website te beveiligen.
Dit artikel wijst er alleen op dat 't niet voldoende gebeurd.
Laat me dan toch eens reclame maken voor een goed
open-source produkt op dit gebied: mod_security voor Apache
http://www.modsecurity.org/

Als 't nix kost is 't toch geen reclame? ;-)
13-02-2007, 19:36 door nom de plume
Door Mameomowskwooz
Er zijn tal van mogelijkheden een website te beveiligen.
Dit artikel wijst er alleen op dat 't niet voldoende gebeurd.
Laat me dan toch eens reclame maken voor een goed
open-source produkt op dit gebied: mod_security voor Apache
http://www.modsecurity.org/

Als 't nix kost is 't toch geen reclame? ;-)

Als het Open Source betreft heet het toch advocacy?
13-02-2007, 19:43 door Mameomowskwooz
Door nom de plume

Als het Open Source betreft heet het toch advocacy?


Wijsneus!
14-02-2007, 09:15 door Anoniem
Het is misschien niet gepast, dat laat ik aan de moderator over, maarruh
Mameomowskwooz? Dat is best een veilige login naam, maar typ je die
iedere keer in als je in logt of sla je dat op in je browser user/pw
manager? :)

Was getekend,
Koosalagoosagoop
14-02-2007, 10:00 door Anoniem
Gebruikt 50% van de websites op internet SQL?
Maakt 42% van de websites gebruik van te beinvloeden parameters?
14-02-2007, 12:03 door Anoniem
Acunetix... Dat was toch dat bedrijfje dat tot voor kort nog een
sql injection vulnerability in hun knowledge base had?
14-02-2007, 14:29 door Anoniem
Door Anoniem
ik begrijp nog steeds niet goed hoe 'scriptkiddies' (noem ik
ze maar even) informatie krijgen via SQL injection. Ja, ik
weet dat je bijv met ' en " een query afsluit en je met ; en
daarachter weer een query een query kan laten uitvoeren.

Maar hoe kunnen ze daar dan gebruik van maken om informatie
uit de database te krijgen, of je database schade aan te
richten zonder dat ze het datamodel kennen? Zou iemand dat
mij kunnen uitleggen, dan heb ik meer informatie om alles
tegen te gaan en begrijp ik er wat meer van.
Dit is ook geheim die we niet met je willen delen.
14-02-2007, 15:53 door gorn
Heeft eigenlijk de moeite genomen om het bericht waar dit op gebaseerd
is te lezen?

Daarin wordt gesteld dat gem 70% van de aangeboden problemen
heeft. M.a.w. er wordt gebruik gemaakt van een vrije dienst om te
controleren of de gemaakte websites nog problemen hebben. En dat
gratis en voor niets.

Niet alleen 'wij' nederlanders zijn wel voor ziets te porren. Wat dat betreft is
het aantal van 10.000 aangeboden websites erg laag.

Het is uit het bericht niet te achterhalen of het om live websites gaat of om
ontwikkel websites.
14-02-2007, 16:06 door G-Force
Vandaag op Webwereld het volgende stuk gelezen:

"Dit is puur sensatie en onzin", reageert
beveiligingsexpert Joel Snyder. Het Amerikaanse
beveiligingsbedrijf Acunetix stelt 3200 websites te hebben
gescand en ontdekte naar eigen zeggen gemiddeld 66 fouten
per gescande website. "Geef mij de lijst van 3200 websites",
reageert Snyder, "Ik kies er tien uit en dan mogen zij data
stelen van die tien sites. Tevens mogen zij zeven van de
tien hacken (om zo op de 70 procent uit te komen."

De onderzoekers van Acunetix stellen dat de kans groot is
dat hackers de problemen ontdekken en zullen uitbuiten.
Snyder ontkent niet dat er problemen zijn bij websites. Het
percentage is volgens hem echter zwaar overdreven. Daarnaast
heeft het merendeel van de 'onveilige' sites geen data die
de moeite van het stelen waard is. Acunetix heeft inmiddels
op Snyder gereageerd en is bereid de weddenschap aan te
gaan.
14-02-2007, 23:55 door Anoniem
Door Anoniem
ik begrijp nog steeds niet goed hoe 'scriptkiddies' (noem ik
ze maar even) informatie krijgen via SQL injection. Ja, ik
weet dat je bijv met ' en " een query afsluit en je met ; en
daarachter weer een query een query kan laten uitvoeren.

Maar hoe kunnen ze daar dan gebruik van maken om informatie
uit de database te krijgen, of je database schade aan te
richten zonder dat ze het datamodel kennen? Zou iemand dat
mij kunnen uitleggen, dan heb ik meer informatie om alles
tegen te gaan en begrijp ik er wat meer van.

heb t een aantal keer meegemaakt, wat ik gezien heb is dat ze via hele vage
, lange strings op een of andere manier via een irc proxy prog. binaries
overpompen en die, ook middels sql injections alszijnde de user waarmee
de webserver draait uitvoeren. dit kan dan een mailserver zijn die spam
verstuurt of een irc - zombie die wacht op commands vanuit een irc bot. ook
heb ik scripts aangetroffen waaruit bleek dat er geprobeerd was root
privileges te verkrijgen. er was toen pas 1 dag een lek ontdekt in een php
app en t was al zover. voortaan let ik beter op!
15-02-2007, 18:41 door Anoniem
+/- 70% van de websites makkelijk te hacken...
+/- 70% van de websites draait apache...
Goh...
17-02-2007, 00:04 door Anoniem
Door Anoniem
+/- 70% van de websites makkelijk te hacken...
+/- 70% van de websites draait apache...
Goh...

Duh...kijk de security bugs bugs er eens op na, het zit m
voornamenlijk in de scripting en dan met name php.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.