NL Internet Techniek

• About this group
• Forums

• Home
• Groups
• NL Internet Techniek
• Forums
• Content - van HTML tot .......
• Uw website goed beschermd tegen hackers?

• 
  Anton de Vries

  The company name is only visible to registered members.

  Uw website goed beschermd tegen hackers?

  Recent kwam in het nieuws dat de website van de Verenigde Naties was gekraakt door een groep hackers. De indruk van deze website was eigenlijk, dat deze op zich prima beveiligd is. De site voldoet aan alle hedendaagse normen die systeembeheerders en netwerkbeheerders inzetten ter voorkoming van dergelijke aanvallen.
  
  Waarom is het dan toch deze groep hackers gelukt? Het antwoord hierop moet worden gezocht bij de web-ontwikkelaars van deze website. Deze web-ontwikkelaars hebben een veel voorkomende fout gemaakt. Een fout die ik als consultant in de internetwereld wel heel erg vaak zie gemaakt. De fout heeft te maken met de manier waarop de web-ontwikkelaar de communicatie met de database heeft opgezet. Van origine database-specialist zijnde, zie ik dat web-ontwikkelaars vaak fantastisch kunnen programmeren maar dat de database vaak een blinde vlek voor hen is.
  
  Het probleem zit hem vaak in de zoekfunctionaliteit van de website. Bepaalde speciale lettertekens kan men invoeren in het zoekveld. Het zoekscherm doorzoekt vervolgens de database van website. De hacker die weet welke speciale karakters welke betekenis hebben in de database kan hier vaak eenvoudig zijn voordeel mee doen.
  
  Er kunnen dan hele zware opvragingen aan de database worden gedaan, zodat de database overbelast raakt en de hele website vervolgens uit de lucht is. Wat ook kan is dat men opvragingen uit de database aanpast en daar een eigen tekst in plaatst. Dit laatste is dus gebeurt bij de hack van de website van de Verenigde Naties.
  
  De technische oplossingen hiervoor zijn relatief simpel : het uitfilteren van speciale karakters in het zoekscherm en het gebruik van zogenaamde “stored-procedures” door de web-ontwikkelaar. Deze aanbevelingen zie ik overigens maar weinig in de praktijk in gebruik, slechts enkele ICT leveranciers ken ik die dit prakticeren. Hopelijk dat deze aanval iedereen wakker schudt.
  
  Voor de techneuten heb ik hier een link :
  http://blogs.techrepublic.com.com/networking/?p=312
  
  Anton de Vries
  Consultant en directeur/eigenaar van ConoSense
  http://www.conosense.eu
  
  • 16 Aug 2007, 10:19 am
  Anton de Vries wrote: > Recent kwam in het nieuws dat de website van de Verenigde Naties was > gekraakt door een groep hackers. De indruk van deze website was > eigenlijk, dat deze op zich prima beveiligd is. De site voldoet aan > alle hedendaagse normen die systeembeheerders en netwerkbeheerders > inzetten ter voorkoming van dergelijke aanvallen. > > Waarom is het dan toch deze groep hackers gelukt? Het antwoord hierop > moet worden gezocht bij de web-ontwikkelaars van deze website. Deze > web-ontwikkelaars hebben een veel voorkomende fout gemaakt. Een fout > die ik als consultant in de internetwereld wel heel erg vaak zie > gemaakt. De fout heeft te maken met de manier waarop de > web-ontwikkelaar de communicatie met de database heeft opgezet. Van > origine database-specialist zijnde, zie ik dat web-ontwikkelaars vaak > fantastisch kunnen programmeren maar dat de database vaak een blinde > vlek voor hen is. > > Het probleem zit hem vaak in de zoekfunctionaliteit van de website. > Bepaalde speciale lettertekens kan men invoeren in het zoekveld. Het > zoekscherm doorzoekt vervolgens de database van website. De hacker > die weet welke speciale karakters welke betekenis hebben in de > database kan hier vaak eenvoudig zijn voordeel mee doen. > > Er kunnen dan hele zware opvragingen aan de database worden gedaan, > zodat de database overbelast raakt en de hele website vervolgens uit > de lucht is. Wat ook kan is dat men opvragingen uit de database > aanpast en daar een eigen tekst in plaatst. Dit laatste is dus > gebeurt bij de hack van de website van de Verenigde Naties. > > De technische oplossingen hiervoor zijn relatief simpel : het > uitfilteren van speciale karakters in het zoekscherm en het gebruik > van zogenaamde “stored-procedures” door de web-ontwikkelaar. Deze > aanbevelingen zie ik overigens maar weinig in de praktijk in gebruik, > slechts enkele ICT leveranciers ken ik die dit prakticeren. Hopelijk > dat deze aanval iedereen wakker schudt. > > Voor de techneuten heb ik hier een link : > http://blogs.techrepublic.com.com/networking/?p=312 > > Anton de Vries > Consultant en directeur/eigenaar van ConoSense > www.conosense.eu