image

3-jarige hackt website via SQL Injection (video)

maandag 15 oktober 2012, 11:45 door Redactie, 20 reacties

Het hacken van websites via SQL Injection is zo eenvoudig dat zelfs een kind van drie het kan doen, zo demonstreert beveiligingsonderzoeker Troy Hunt. Hunt liet zijn zoontje aan de slag gaan met de Havij SQL Injection-tool. SQL Injection is al bijna veertien jaar een probleem en ontstaat doordat programmeurs onveilig programmeren. Via SQL Injection krijgt een aanvaller toegang tot de database van een website, en kan zo vertrouwelijke klantgegevens als e-mailadressen, namen en al dan niet versleutelde wachtwoorden benaderen.

Om het gebruik van SQL Injection te vereenvoudigen zijn verschillende tools beschikbaar, waarvan Havij één van de populairste is. "Ik stel dat het hacken van websites via SQL Injection zo eenvoudig is, dat zelfs mijn 3-jarig zoontje een succesvolle hacker kan zijn", aldus Hunt, die opmerkt dat hij er niet ver naast zit als zijn zoontje met Havij aan de slag gaat.

Scriptkiddies
Volgens Hunt is Havij een tool om penetratietesters te helpen. "Maar, en dit een grote 'maar', als je op YouTube zoekt zie je niet zoveel video's van penetratietesters." De onderzoeker stelt dat het voornamelijk om kinderen gaat die websites willen hacken om daar allerlei gegevens te stelen.

Reacties (20)
15-10-2012, 11:49 door [Account Verwijderd]
[Verwijderd]
15-10-2012, 11:56 door Anoniem
Kleine zijn pc'ke afnemen en met de Legoblokjes Technic laten spelen, komt niets goed van.
15-10-2012, 12:09 door [Account Verwijderd]
[Verwijderd]
15-10-2012, 12:20 door Bert de Beveiliger
Makkelijk hoor Hugo, natuurlijk doet ie alles voor. De boodschap is - mag ik hopen - toch wel heel duidelijk.
15-10-2012, 13:35 door Security Scene Team
ik deel de mening totaal niet. hij stelt dat als je havij Downloaden kunt en openen en ook nog eens kunt gebruiken op sommige sites dat je gelijk een succesvolle hacker bent. ik kan mijn kind ook wel uitleggen waarop hij moet klikken en waar en wanneer hij dat moet doen, dat maakt mijn kind nog steeds niet een succesvolle hacker.

na verloop van tijd, laten we zeggen 5 a 8 jaar? zal havij toch echt wel achterhaald zijn, en dan nog maar te zwijgen over de Script firewall's als dat gebeurt dan zijn die successvolle hackers ineens niet zo succesvol meer. en moeten ze weer aan pappie vragen waar ze nu moeten klikken.

Bullshit nieuws, gewoon een media geile onderzoekst journalist. is te vergelijken met Arnoud engelfried...
15-10-2012, 13:37 door Duck-man
Hacken met een kind op de stoel is nog niet hacken door een 3 jarige. Goed idee ook om je kind te laten hacken en laten denken dat crimineel gedrag normaal is.
Kan die man niet uit de ouderlijke macht gezet worden.
15-10-2012, 13:38 door Security Scene Team
Door AnonymousSecurity: Ik deel de gedachte vd onderzoeker. Echter of dit ook zo is?



Zeker weten deel jij die gedachte, Omdat jij een trouwe gebruiker bent van Havij.
15-10-2012, 13:48 door Patio
Computercreche => Computercrash
15-10-2012, 13:59 door [Account Verwijderd]
[Verwijderd]
15-10-2012, 14:04 door [Account Verwijderd]
[Verwijderd]
15-10-2012, 15:01 door EDLIN
Laat dat kind met rust en gewoon in de zandbak spelen.
15-10-2012, 15:24 door Anoniem
Door Security Scene Team: ik deel de mening totaal niet. hij stelt dat als je havij Downloaden kunt en openen en ook nog eens kunt gebruiken op sommige sites dat je gelijk een succesvolle hacker bent. ik kan mijn kind ook wel uitleggen waarop hij moet klikken en waar en wanneer hij dat moet doen, dat maakt mijn kind nog steeds niet een succesvolle hacker.

na verloop van tijd, laten we zeggen 5 a 8 jaar? zal havij toch echt wel achterhaald zijn, en dan nog maar te zwijgen over de Script firewall's als dat gebeurt dan zijn die successvolle hackers ineens niet zo succesvol meer. en moeten ze weer aan pappie vragen waar ze nu moeten klikken.

Bullshit nieuws, gewoon een media geile onderzoekst journalist. is te vergelijken met Arnoud engelfried...

Een succesvolle hacker = hacker die een (in deze context) website inbreekt. Kind is succesvol, dus implicatie klopt. En als je 8 jaar lang Havij gebruikt, mag ik hopen dat je de basisprincipes ook wel kent. En dat SQL Injection kinderlijk simpel is, heeft voor ons misschien geen nieuwswaarde, maar het is mogelijk voor 'n00bs' wel een eye-opener !
15-10-2012, 17:43 door Arnhemmer
$sql = 'SELECT id FROM user WHERE userid = '.intval($uservar).'';
problem solved
15-10-2012, 18:33 door Anoniem
Door Arnhemmer: $sql = 'SELECT id FROM user WHERE userid = '.intval($uservar).'';
problem solved

Die single quotes zijn niet nodig als je intval gebruikt =)
Hierdoor moet mysql type conversion doen van string naar int wat onnodige resources gebruikt.
15-10-2012, 22:58 door SBBo
Wat een nonsens; wie houdt die muis eigenlijk vast?
15-10-2012, 23:37 door [Account Verwijderd]
[Verwijderd]
16-10-2012, 08:26 door S-q.
"....Omdat jij een trouwe gebruiker bent van Havij...."

En Gij Brutus?
16-10-2012, 09:51 door Anoniem
Door Arnhemmer: $sql = 'SELECT id FROM user WHERE userid = '.intval($uservar).'';
problem solved
En wat nu als je string wilt gebruiken :)

Dus dit keer niet exploit by mom, maar exploit by dad? ;)
16-10-2012, 10:24 door Arnhemmer
@Hugo,

Maar wat als de connectie met de database al is gelegd bij het uitvoeren van deze code? (wat in de meeste website die bijv met PHP zijn geschreven het geval is)
16-10-2012, 10:25 door Arnhemmer
@anoniem

<?php
mysql_real_escape_string($string)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.