Userbase

<img src="http://upload.userbase.be/upload/webwinkel_kl.jpg" align="left" width="120" height="100"> Wat u kunt doen tegen hackers. In hun zoektocht naar gevoelige bedrijfsgegevens hebben hackers een nieuwe achterdeur gevonden: webwinkels. Immers overal waar iemand wat intikt op het internet, ontstaat een veiligheidsrisico.

In hun zoektocht naar gevoelige bedrijfsgegevens hebben hackers een nieuwe achterdeur gevonden: webwinkels. Immers overal waar iemand wat intikt op het internet, ontstaat een veiligheidsrisico. , Wie weet hoe je invulvelden kan manipuleren door bepaalde informatie in te voeren, kan in principe de controle krijgen over een hele website. Gelukkig onderkennen beveiligingsbedrijven dit probleem.

Via de invulvelden kunnen hackers heel wat uitrichten. Webwinkels laten bijvoorbeeld opeens in plaats van productlijsten de creditcardnummers van alle aangemelde gebruikers zien, of de achterliggende databank geeft de bedrijfsomzet van de afgelopen dag vrij. Ook kunnen productprijzen worden aangepast. De firewall merkt ondertussen niets van dit alles, omdat de hack via invulvelden van de website gebeurd en het bedrijfsnetwerk dus niet direct wordt aangevallen.
lees hierover meer

Bron: ZDNet.be van 25 oktober 2004

en hoe hopen ze ooit echt aan hun "gratis gekochte spullen" te komen? opsturen naar hen thuis? dan heeft de politie het achteraf wel heel makkelijk!

en los daarvan is het redelijk eenvoudig om eerst te controleren of bepaalde veldjes wel de juiste mogelijke karakters bevatten vooraleer het SQL-query uit te voeren...

@Wem,
Ik vermoed dat hackers het eerder gemunt hebben op credietkaartnummers welke ze eventueel uit klantenbestanden kunnen bemachtigen.
Waar is men mee bezig, zal men die criminelen nooit kunnen stoppen.
Dat de ontwikkelaars van software zich maar eens toeleggen op een omwenteling was betreft de functie "Whois" !
Zodat misdadigers sneller opgespoort kunnen worden, mensen die niets te verbergen hebben kunnen daar moeilijk iets tegen hebben.
Hopen dat de samenwerking tussen Cisco en Microsoft soulaas brengt als hun nieuwe beveiligingssoftware zal klaar zijn.

Pfff... het gaat hier om SQL-injection. De heren van ZDnet lopen nog maar eens jaren achter de feiten aan... dit is dus verre van hot-news.

SQL-injection is trouwens een design fout, web applicaties die daaraan kwetsbaar zijn vertellen dus veel over de makers ervan.

Trouwens hier bestaan al lange tijd specifieke application firewalls/gateways voor (kijk maar eens op www.teros.com ).

wem schreef:en hoe hopen ze ooit echt aan hun "gratis gekochte spullen" te komen? opsturen naar hen thuis? dan heeft de politie het achteraf wel heel makkelijk!

en los daarvan is het redelijk eenvoudig om eerst te controleren of bepaalde veldjes wel de juiste mogelijke karakters bevatten vooraleer het SQL-query uit te voeren...

zo simpel is het echt wel niet ze als jij een aankoop doet bij een bedrijf ok..?

dan komt de hacker breekt in de db neemt u gegevens adress rijksregister whaterver .. , u visa.. gegevens enz

gaat dan naar een andere site vult data in en gedaan ..

mijn antwoord zij zijn geencrypteerde database.

dan sturen ze dit product naar een leegstaand huis doen zich voor als de koper wanneer de leverancier komt en neemt het product in ontvangst dan verkopen ze het en klaar is kees.

misschien zullen ze gewoon een identiteits kaart moeten vragen bij ontvangst dat zal het heel wat ingewikkelder maken ..

r2504 schreef:Pfff... het gaat hier om SQL-injection. De heren van ZDnet lopen nog maar eens jaren achter de feiten aan... dit is dus verre van hot-news.

SQL-injection is trouwens een design fout, web applicaties die daaraan kwetsbaar zijn vertellen dus veel over de makers ervan.

Trouwens hier bestaan al lange tijd specifieke application firewalls/gateways voor (kijk maar eens op www.teros.com ).

je hebt gelijk.. ze lopen wat achter, ..

maar als de dag vandaag het zich nog steeds voor doet vind ik toch dat het misschien eens vermeld mag worden

bedrijven zouden beter met een paypal systeem werken .. dan zou men een email verrificatie moeten doen & worden creditcard info niet uitgegeven , paypal werkt in belgie niet zoals het zou moeten als een nl bankrekening hebt kan je bv vanaf je bankrekening geld halen in belgie moet je een credit card hebben.

Blue-Sky schreef:@Wem,
Ik vermoed dat hackers het eerder gemunt hebben op credietkaartnummers welke ze eventueel uit klantenbestanden kunnen bemachtigen.

weet ik wel
maar in het artikel hebben ze het de helft van de tijd over gratis boeken aan huis laten komen...

Blue-Sky schreef:Hopen dat de samenwerking tussen Cisco en Microsoft soulaas brengt als hun nieuwe beveiligingssoftware zal klaar zijn.

Heeft er helaas niks mee te zien. De samenwerking tussen deze 2 Big Boys is vooral om te zorgen dat je een pc niet zomaar op een bedrijfsnetwerk kan aansluiten maar dat eerst grondig je identiteit, je patch niveau, aanwezigheid van de anti-virus & firewall etc... wordt gecontroleerd vooraleer de switch/router beslist dat je poort uberhaupt actief wordt, je in de goede VLAN wordt gezwierd met de juiste policies en je een dhcp adres krijgt en de rest van het netwerk op mag.

ZDNet wil eigenlijk gewoon zeggen dat de security van web applicaties dringend beter kan en stampt daarmee een open deur in.

Ofloo schreef:bedrijven zouden beter met een paypal systeem werken .. dan zou men een email verrificatie moeten doen & worden creditcard info niet uitgegeven , paypal werkt in belgie niet zoals het zou moeten als een nl bankrekening hebt kan je bv vanaf je bankrekening geld halen in belgie moet je een credit card hebben.

Dit heeft toch niks te zien met de beveiliging van de applicatie zelf?