image

97 procent websites ernstig lek

donderdag 11 september 2008, 10:54 door Redactie, 15 reacties

Bijna alle websites op het internet hebben tenminste met één ernstig beveiligingslek te maken, zo blijkt uit onderzoek van het Web Application Security Consortium (WASC). De meest voorkomende problemen zijn Cross-Site Scripting, het lekken van informatie, SQL Injectie en voorspelbare locaties van "resources". Het aantal is gebaseerd op een scan van 32.000 websites, zowel via automatische tools als white en black-box scans. In totaal ontdekten de onderzoekers 70.000 beveiligingslekken. Beveiligingsexperts zijn verbaasd over het aandeel van SQL-injectie. "Ik had gedacht dat SQL-injectie een groter aandeel zou hebben. Hoewel de statistieken laten zien dat het aantal afneemt ten opzichte van voorgaande jaren, moet men deze aanval, en alle vormen van injectie in het algemeen, blijven bestrijden," zegt Raul Siles van het ISC.

Beveiligingsexpert Jeremiah Grossman waarschuwt om niet teveel naar de cijfers te kijken. "Het is het beste om deze rapporten gewoon te zien voor wat ze zijn, waar het werkelijke aantal en soort beveiligingslekken onbekend is. Er zijn bepaalde onnauwkeurigheden, zoals met CSRF, maar het geeft ons tenminste iets om mee te werken."

Het rapport vergelijkt ook test methoden om problemen binnen websites te vinden. Het gebruik van black box en white box scans levert meer autorisatie, authenticatie en logische lekken op. Daarnaast hebben deze scans 12,5 keer meer kans om een ernstig lek te vinden dan met een geautomatiseerde scan het geval is.

Reacties (15)
11-09-2008, 10:58 door Nomen Nescio
Samen met die "zeer ernstige lekken" in Windows is internet dus niet meer te gebruiken. Gek dat ik al jaren geen enkele keer ben aangevallen door iets of iemand van buiten. Althans, het is nog nooit iemand gelukt mijn Windows te verknoeien. Zou toch wel graag eens willen weten waarom men elke keer weer die kwalificaties gebruikt. Als het zo ernstig is en als er zo vaak wordt aangevallen, dan moet je dat toch een keer merken?

Een paar mensen die ik ken, hebben al geroepen dat ze in ieder geval hier niet meer gaan reageren en de berichten van security.nl worden voortaan voor kennisgeving aangenomen. Men trekt zich er niets meer van aan. Enkelen hebben security.nl inmiddels vaarwel gezegd. Zou dat nou de bedoeling zijn?

O en ehhh... reageer hier maar niet op, want dat worden toch venijnige reacties en daar heb ik geen zin in. Verdere reacties zal ik dan ook niet lezen.
11-09-2008, 11:21 door Anoniem
Ik heb even een zelfde onderzoek gedaan met een test-set van 1 site; mijn eigen. Het Internet blijkt nu 100% safe.
11-09-2008, 11:40 door Jachra
@Nomen Nescio

Zoals zo vaak denkt men pas achteraf aan Security en dan moet dat even toegevoegd worden. In feite is men dan al te laat. Dat jouw Windows systeem dan wel systemen niet zo een last hebben, komt doordat jij en vele anderen weten wat ze doen op een Operating System. Echter weten jij en ik dat de gewone thuisgebruiker het nodige kennis nogal vaak mist.
11-09-2008, 12:26 door SirDice
Door Nomen NescioGek dat ik al jaren geen enkele keer ben aangevallen door iets of iemand van buiten. Althans, het is nog nooit iemand gelukt mijn Windows te verknoeien.
Ten eerste gaat dit artikel over websites, niet over werkstations. Ten tweede heeft men het over web applicaties en niet over de webserver of het OS waar het op draait.
11-09-2008, 13:47 door Nomen Nescio
Door SirDice
Door Nomen NescioGek dat ik al jaren geen enkele keer ben aangevallen door iets of iemand van buiten. Althans, het is nog nooit iemand gelukt mijn Windows te verknoeien.
Ten eerste gaat dit artikel over websites, niet over werkstations. Ten tweede heeft men het over web applicaties en niet over de webserver of het OS waar het op draait.
Met een Windows met allemaal ernstige lekken moet je dus gevaar lopen als je websites met gevaarlijke lekken bezoekt. Dáár heb ik het over.

Verder zwijgt men hier weer in alle talen over de nieuwste rotzooi met iTunes. Lees maar eens op ZDNet, wat nou ook niet direct een Microsoftvriend genoemd kan worden: http://www.zdnet.nl/news.cfm?id=91109

Overigens kwam ik hier toch weer vanwege commentaar van een van mijn kennissen die het helemaal gehad heeft met security.nl, dus zag ik jouw reactie. Maar verder zoekt iedereen het maar uit. Eerst maar eens een wat objectievere opstelling. Eerde en Renéetje zullen wel blij zijn dat die stomme hond van een Nomen Nescio min of meer de pijp aan Maarten geeft hier.
11-09-2008, 14:00 door Anoniem
Het rapport bevat nogal vaak het woord probability. Het geeft de waarschijnlijkheid weer dat men bepaalde fouten op websites kan vinden. Wat heb je aan die informatie als je een website bezoekt?
Daarom zegt Beveiligingsexpert Jeremiah Grossman dat men niet teveel naar de cijfers te kijken. "Het is het beste om deze rapporten gewoon te zien voor wat ze zijn, waar het werkelijke aantal en soort beveiligingslekken onbekend is.
Nomen Nescio probeert hier weer op een goedkope manier de aandacht van het echte onderwerp af te leiden, en te verplaatsen naar de discussie over Windows' onveiligheid. Zoals SirDice ook al terecht opmerkte. De gemiddelde kwaliteit van de reacties hier kan alleen maar hoger worden als Nomen Nescio en aanhang hier niet meer reageren. Dus de toekomst ziet er zonnig uit :)
11-09-2008, 14:32 door Eerde
Alle website eigenaren, koopt allen beveiliging, nu meteen u loopt gevaar !

Of neem een Linux server (met LAMP-stack) en leer hoe je met beveiliging moet omgaan, daar heb je jaar in jaar uit plezier van en kost alleen wat tijd.
Ik kan CentOS aanraden.
11-09-2008, 15:36 door Anoniem
BSD + LAMP + Suhosin-Patch + Modsecurity + Snort_Inline + Bijgewerkt houden.
11-09-2008, 16:18 door SirDice
Nogmaals, het maakt niet uit welk OS of welke webserver er is gebruikt. XSS, SQL injections en al die andere trukendozen zijn daar niet afhankelijk van. Het maakt echt niet uit of dat nu in PHP of ASP gebeurd. De enige die kan voorkomen dat dat soort dingen mogelijk zijn is de developer van die web applicatie.
11-09-2008, 16:20 door SirDice
Door AnoniemBSD + LAMP + Suhosin-Patch + Modsecurity + Snort_Inline + Bijgewerkt houden.
Je vergeet de source code audit op de webapplicatie.
11-09-2008, 17:06 door Lamaar
Door AnoniemHet rapport bevat nogal vaak het woord probability. Het geeft de waarschijnlijkheid weer dat men bepaalde fouten op websites kan vinden. Wat heb je aan die informatie als je een website bezoekt?
Daarom zegt Beveiligingsexpert Jeremiah Grossman dat men niet teveel naar de cijfers te kijken. "Het is het beste om deze rapporten gewoon te zien voor wat ze zijn, waar het werkelijke aantal en soort beveiligingslekken onbekend is.
Nomen Nescio probeert hier weer op een goedkope manier de aandacht van het echte onderwerp af te leiden, en te verplaatsen naar de discussie over Windows' onveiligheid. Zoals SirDice ook al terecht opmerkte. De gemiddelde kwaliteit van de reacties hier kan alleen maar hoger worden als Nomen Nescio en aanhang hier niet meer reageren. Dus de toekomst ziet er zonnig uit :)
Dus je moet een Microsofthater zijn om hier te mogen reageren? Lekker arrogant zeg.
11-09-2008, 17:38 door SirDice
Door LamaarDus je moet een Microsofthater zijn om hier te mogen reageren? Lekker arrogant zeg.

Nog maar weer een keer.... Wat heeft MS of Linux met dit onderwerp te maken? Op beide systemen kun je brakke websites bouwen. En dat is waar dit artikel over gaat.
11-09-2008, 20:42 door Anoniem
Door SirDice
Door AnoniemBSD + LAMP + Suhosin-Patch + Modsecurity + Snort_Inline + Bijgewerkt houden.
Je vergeet de source code audit op de webapplicatie.

Yep, is ook wel handig.
11-09-2008, 23:19 door Lamaar
Door SirDice
Door LamaarDus je moet een Microsofthater zijn om hier te mogen reageren? Lekker arrogant zeg.

Nog maar weer een keer.... Wat heeft MS of Linux met dit onderwerp te maken? Op beide systemen kun je brakke websites bouwen. En dat is waar dit artikel over gaat.
Nog maar weer een keer: een website met een risico kan eerder schade veroorzaken bij de bezoeker als deze bezoeker een krakkemikkig OS gebruikt. Je kan het een niet los van het ander zien.
12-09-2008, 10:18 door SirDice
Door Lamaar
Door SirDice
Door LamaarDus je moet een Microsofthater zijn om hier te mogen reageren? Lekker arrogant zeg.

Nog maar weer een keer.... Wat heeft MS of Linux met dit onderwerp te maken? Op beide systemen kun je brakke websites bouwen. En dat is waar dit artikel over gaat.
Nog maar weer een keer: een website met een risico kan eerder schade veroorzaken bij de bezoeker als deze bezoeker een krakkemikkig OS gebruikt. Je kan het een niet los van het ander zien.
Oorzaak en gevolg.. Eerst zal die website geinfecteerd moeten worden. Als dat niet meer kan.....

Clients die geinfecteerd raken na het bezoeken van zo'n website zijn symptomen, geen oorzaak.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.