[Q&A] Beveiliging algemeen

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Full Stack Developer JavaScript HBO / GIT

Over de werkgever: Wij creëren ultramoderne digitale producten. Ben jij een Full Stack Developer? Heb je ervaring met programmeren? Vaste baan: Full Stack Developer Programmeren HBO 3.300 - 4.500 Full Stack Developer Wij zijn een Fullservice Internetbureau. Wij maken Websites, Apps en Portals, en zijn actief op gebied van E-commerce. We hebben ook veel aandacht voor websiteoptimalisatie (SEA en SEO), en systeemintegratie, en maken datakoppelingen met veel verschillende systemen. Bij ons werk je aan onze eigen bedrijfsapplicaties. Je ontwikkelt met ons de meest nieuwe software. Wij blinken uit als het gaat om de inzet van technologie. Wij staan open voor

Bekijk vacature »

Medior PHP Programmeur Backend Developer / REST Of

Over het bedrijf: Affiniteit met PHP? Affiniteit met online identificatie? Kennis van OCR Software? Developer Heb je ervaring met PHP, MYSQL, MVC en OOP? Vaste baan: Medior PHP Programmeur Backend Developer Codeigniter 3.000 - 4.300 Wij hebben ruim tien jaar ervaring op het gebied van online verifiëren van persoons- en bedrijfsgegevens in zowel Nederland als het buitenland. Vanuit ruime ervaring en up-to-date expertise adviseren wij klanten en partners onder andere over de diverse mogelijkheden voor het identificeren van personen en/of organisaties. De technische specialisten denken graag met je mee over de mogelijkheden voor de meest optimale oplossing. Er leeft een

Bekijk vacature »

Junior .Net ontwikkelaars gezocht, groei door tot

Bedrijfsomschrijving Ga aan de slag bij het leukste softwarebedrijf in Twente! Dit bedrijf ontwikkelt hoogstaande software die zowel binnen Nederland als buiten Nederland gebruikt wordt. De toepassingen worden door klanten gebruikt die veelal in de toeristische sector werken. Een mooi voorbeeld hiervan is een systeem dat gebruikt wordt om de goede doorstroom van grote groepen bezoekers te monitoren. Ook wordt hun innovatieve software gebruikt om kleinere ondernemers binnen de reisbranche te ondersteunen binnen hun administratie en documentatie. De organisatie bestaat al meer dan 20 jaar en er werken op dit moment zo’n 25 ontzettend sterke developers. De verwachting is dat

Bekijk vacature »

Doorgewinterde .NET Developer

Wie zijn wij 2-Control is een IT-bedrijf dat audit, interne controle en compliance diensten en add-ons voor Dynamics 365 Business Central en Finance & Operations levert. Wij ontwikkelen Authorization Box, een cloudoplossing waarmee gebruikers rechten eenvoudig kunnen beheren en monitoren. Dit wordt gebouwd door een klein ontwikkelteam, momenteel gefocused op de migratie naar .NET 5 en het operationeel houden van het product. Hoewel gevestigd in een oud gemeentehuis in Breda (recent gerenoveerd), is de bedrijfssfeer een stuk minder formeel dan wat de voorgevel doet vermoeden. Wie zoeken wij Als je lang genoeg in code bezig bent geweest om patronen, best

Bekijk vacature »

Delphi Developer

Als Delphi Developer werk je samen met andere ontwikkelteams om onze backoffice applicaties zo optimaal mogelijk te laten werken. Wat doe je als Delphi Developer bij Coolblue? Je werkt samen met andere ontwikkelteams om onze backoffice applicaties zo optimaal mogelijk te laten werken, of het nu gaat om het uitbreiden van features of het migreren naar API's. Alles om een glimlach op het gezicht van onze collega's te toveren! Hoewel je een Delphi Developer bent, ben je niet vies van een beetje C# of JavaScript. Wil jij ook Delphi Developer worden bij Coolblue? Lees hieronder of het bij je past.

Bekijk vacature »

GE Smallworld Ontwikkelaar - Utilities

Wij zoeken een Geo-ICT Smallworld ontwikkelaar met interesse in de nieuwste ontwikkelingen in de Energiemarkt! Wat ga je doen? Wist je dat CGI het grootste bedrijf is met een eigen Geo-ICT community? Dat we ook in verschillende landen waaronder Nederland de koploper zijn op het gebied van Geo-ICT dienstverlening? We breiden onze Geo-ICT activiteiten nog steeds verder uit. Zo zijn wij ons vooral aan het richten op de nieuwste ontwikkelingen in de energiemarkt en de daarbij horende energietransitie. Het CO2 neutraal maken van de samenleving is onze doelstelling en jij kan daar een actieve bijdrage aan leveren! Onze Geo-ICT practise

Bekijk vacature »

Backend Developer ICT / SQL

Over de werkgever: Wij schrijven software voor e-commerce en marketing doelen. Werk jij als backend developer? Heb jij ervaring met asp.net en .net core? Vaste baan: Backend Developer ICT B2B 2.600 - 3.900 Backend Developer Wij zijn marktleider op het gebied van IT Solutions. Wij zijn een veelzijdige organisatie. Je werkt voor onze eigen IT organisatie. We werken met moderne technologie en staan open voor innovatie. Wat houdt de functie precies in?: Voor de vacature als Backend Developer Weesp B2B ga je het volgende doen: Je werkt aan het verbeteren, implementeren, integreren en en ontwikkelen van onze op cloud gebaseerde

Bekijk vacature »

RPA Developer

Voor een opdrachtgever uit de omgeving Utrecht ben ik op zoek naar een RPA Developer. Heb jij een afgeronde HBO- of WO-opleiding in de richting van IT, econometrie of Business Information Magement en minimaal 3 jaar relevante werkervaring? Dan ben ik op zoek naar jou! Deze opdrachtgever is een bekende naam in de regio Utrecht. Als RPA Developer heb je een functie waar je als spil fungeert. Binnen een team van Mendix-specialisten werk je intensief samen aan verschillende projecten bij diverse klanten. Met elkaar realiseer je vernieuwde businessapplicaties die het onze klanten makkelijker maken en de werkzaamheden efficiënter inrichten. Jij

Bekijk vacature »

Senior Node.js Developer (NL)

Senior Node.js Developer (NL) Den Haag HBO/WO IT Professional "Als Senior Node.js Developer impact maken op de groeiende E-commerce markt met onze logistieke software. Je doet dit door complexe bedrijfskritische logistieke business processen te vertalen naar de ontwikkeling en uitbreiding van onze Cloud IT-platformen en software oplossingen in JavaScript en AWS" Wat ga je doen? PostNL is becoming a postal tech company. Als Senior Node.js Developer ben je onderdeel van een multidisciplinair Business-IT-team bestaande uit onder andere een Lead Engineer, JavaScript Developers en Solution Consultants. Samen zijn jullie verantwoordelijk voor het bouwen aan het Event Management Platform (EMP). Dit platform

Bekijk vacature »

Product Owner

Vind jij het leuk om met Techniek bezig te zijn en liggen jouw interesse in de digitale wereld? Dan zijn wij op zoek naar jou! Wat ga je doen? Kennis vastleggen in tooling, zodat het goed toegepast kan worden. Je bent als Product Owner verantwoordelijk voor de software producten, die de collega's en klanten ondersteunen bij het opstellen van materiaallijsten. Je verzamelt input vanuit de gebruikers en verwerkt deze op agile wijze in de producten. Hiervoor werk je nauw samen met de verkooporganisatie en w-engineers voor de ontwikkeling. Daarbij stel je userstory's op voor het software team, beoordeel je het

Bekijk vacature »

PHP Developer HBO / Symfony

Over de werkgever: Wij zijn een grote online muziekwinkel. Ben jij een ambitieuze PHP Developer? Heb je kennis van Symfony? Vaste baan: PHP Developer Symfony 2.800 - 3.700 PHP Developer Wij zijn de grootste online muziekwinkel van de Benelux, en de toekomstig grootste muziekwinkel van Europa. Met honderdduizenden pakketten die jaarlijks verstuurd worden en miljoenen unieke bezoekers per jaar zijn wij marktleider in de Benelux op het gebied van licht, geluid, muziekinstrumenten, producer- en DJ-gear. Wij bieden veel verantwoordelijkheid en ruimte voor creativiteit. Daarnaast werken we in een leuke en informele werksfeer bij een jong en dynamisch bedrijf. Wij zijn

Bekijk vacature »

Software Developer - Space unit

We help our customers in their day-to-day operations by processing Space & Earth Observation data using cutting edge IT technologies. If you: • are a software engineer willing to work for a creative group in the Space Business with earth observation and geospatial data, • are eager to learn new big data, machine learning and cloud technologies, • enjoy integrating different components in a wide landscape, • have a passion for clean code and elegant solutions, then, our team is looking for you! Together with our data scientists and IT colleagues, you will have the opportunity to work in projects,

Bekijk vacature »

PHP Developer / Microservices @ Utrecht

2021-08-12 iSense PHP Developer / Microservices Ben jij een PHP/Web Developer met minimaal 2-3 jaar ervaring en wil je meewerken aan het ombouwen van een grote monoliet naar een compleet nieuw Microservices platform? Lijkt het je leuk om te werken bij een hechte organisatie die inmiddels een grote en bekende speler is geworden op HR gebied binnen Nederland? Lees dan nu verder! ISP50438 Organisatie Als PHP/Web Developer ga je aan de slag bij een organisatie die de afgelopen jaren gegroeid is naar een bekende speler op HR gebied binnen Nederland. Hun platform zorgt er voor dat vraag en aanbod van

Bekijk vacature »

C# developer

C# developer Als C# developer bij Profit4Cloud ontwikkel jij de back-end en soms ook front-end oplossingen van (over)morgen. We omarmen innovaties en zoeken daarvoor versterking in ons .Net-team. Je werkt samen met enthousiaste en eigenzinnige professionals. We zijn altijd bezig met 'the next big thing', of het nu gaat om het ontwikkelen van een nieuwe applicatie, het ontwikkelen van Cloud-native applicaties of het herschrijven van een bestaande. Jouw specificaties Afgeronde HBO of WO-studie in Informatica, ICT of iets wat daarop lijkt minimaal 2 jaar ontwikkelervaring C# en Javascript is jouw second nature. Angular, React of NodeJS zijn een pré Je

Bekijk vacature »

Back-End/ Java Developer

Role: Back-End/ Java Developer Location: Amsterdam Salary: Flexible + Great Benefits! Must have a valid Dutch work permit to apply! This opportunity is not to be missed! Do you want to work for a multinational company with a huge global presence in the power of technology? My top client are now seeking a Back-End developer who has experience focusing on Java to join their fast-growing team in Amsterdam. My client is an industry leader in innovate technology and the evolving industry of digital, cloud and platforms. You will have the chance to work on impactful projects and liaise with teammates

Bekijk vacature »

Pagina: « vorige 1 2 3 volgende »

Chris -

Chris -

06/08/2013 09:19:02
Quote Anchor link
Dit is gewoon een lijst met 20 methodes. SpyTunes gebruiken om een website te hacken op nummer 2?

https://www.owasp.org/index.php/Top_10_2013-Top_10
Gewijzigd op 06/08/2013 09:20:31 door Chris -
 
PHP hulp

PHP hulp

25/09/2021 09:11:13
 
Jan R

Jan R

06/08/2013 09:25:54
Quote Anchor link
Dit topic komt een beetje door mijn vorig topic.
Daarin werd gesteld dat mijn pagina lek was. Ik betist dit niet maar zoek dan wel een oplossing.
ik controleer of er een 'sn' is meegegeven? of het eventueel niet leeg is. In beide gevallen doe ik onmiddellijk een die(), niet mooi dat weet ik maar hacken is dit ook niet). Verder gebruik ik mysqli_real_escape_string.

Toch zou het dus lek zijn. Kan je me zeggen waar? Gezien de code niet zo groot is. 90 lijntjes heb ik ze er maar eens volledig op gezet:)

Jan


Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
<!DOCTYPE HTML>
<html lang="NL-be">
    <head>
        <title>
            Muziek
        </title>
        <META http-equiv="Content-Type" content="text/html; charset=utf-8">
        <META NAME="AUTHOR" CONTENT="JanR">
        <LINK id="style" HREF="tbl-2clr.css" rel="stylesheet" type="text/css">
        
        <LINK id="style" HREF="tbl-2clr.css" rel="stylesheet" type="text/css">
<!-- Contact Form CSS files -->
<link type='text/css' href='css/basic.css' rel='stylesheet' media='screen' />

    <!-- Bootstrap -->
    <link href="/bootstrap/css/bootstrap.min.css" rel="stylesheet" media="screen">
    <script src="http://code.jquery.com/jquery.js"></script>
    <!-- Include all compiled plugins (below), or include individual files as needed -->
    <script src="/bootstrap/js/bootstrap.min.js"></script>

    <!-- Optionally enable responsive features in IE8. Respond.js can be obtained from https://github.com/scottjehl/Respond -->
    <script src="/bootstrap/js/respond.js"></script>



    </head>
    <body>
        <?php
            include ('../php/define.php');
            include ('../php/functions.php');
            $con = opendatabasei();
            if (isset($_GET['sn'])){
                if (($_GET['sn']=='')){
                    die ('Titel niet opgegeven!');
                }
else{
                    $sn = mysqli_real_escape_string($con, $_GET['sn']);
                    $sql = 'select titel from muziek_titels where serienr="'. $sn .'";';
                    $result = mysqli_query($con, $sql);    
                    if (!$result)
                    {

                        die('<br>Fout: ' . mysqli_error($con) . '<br>' . $sql);
                    }

                    while(list($titel)= mysqli_fetch_row($result))
                    {

                        echo '<h1 style="text-align:center;">' . char($titel) . '</h1>';
                    }
                }
            }

            else{
                die('Geen titel geselecteerd!');
            }

        ?>

        <table>
            <thead>
                <tr>
                    <th>Zijde / Disk nr</th>
                    <th>NR</th>
                    <th>Lied</th>
                    <th>Uitvoerder</th>
                    <th>Duur</th>
                    <th>Jaar</th>
                </tr>
            </thead>
            <tbody>
                <?php
                    if (isset($_GET['sn'])){
                        $sql = 'select Lied, Uitvoerder, Zijde_diskNR, NR, DATE_FORMAT(tijd,"%H:%i:%S") as duur, Jaar from muziek_liedjes where serienr like "'. $sn .'" order by Zijde_diskNR, nr ;';
                        //"%H:%i:%S" voor tijd
                        $result = mysqli_query($con, $sql);    
                        if (!$result)
                        {

                            die('<br>Fout: ' . mysqli_error($con) . '<br>' . $sql);
                        }

                        while(list($Lied, $Uitvoerder, $Zijde_diskNR, $nr, $tijd, $Jaar )= mysqli_fetch_row($result))
                        {

                            echo PHP_EOL.'<tr>';
                            echo PHP_EOL.'<td>' . $Zijde_diskNR . '</td>';
                            echo PHP_EOL.'<td>' . $nr . '</td>';
                            echo PHP_EOL.'<td>' . htmlentities ($Lied) . '</td>';
                            echo PHP_EOL.'<td>' . htmlentities ($Uitvoerder) . '</td>';
                            echo PHP_EOL.'<td>' . $tijd . '</td>';
                            echo PHP_EOL.'<td>' . $Jaar . '</td>';
                            echo '</tr>';
                        }
                    }

                ?>

            </tbody>
        </table>
    </body>
</html>
Gewijzigd op 06/08/2013 09:31:13 door Jan R
 
Chris PHP

Chris PHP

06/08/2013 09:35:48
Quote Anchor link
@chris,

Nee dat was een top 20 met meest gebruikte methodes, niet een opsomming van methodes.
 
Chris -

Chris -

06/08/2013 09:39:38
Quote Anchor link
Bron? Ik kan namelijk geen webserver hacken met een iTunes bug heur...

Toevoeging op 06/08/2013 09:50:09:

@Jan btw: http://www.php.net/manual/en/mysqli.real-escape-string.php#46339 Zie de comments :)
 
Kris Peeters

Kris Peeters

06/08/2013 09:50:57
Quote Anchor link
Chris - op 06/08/2013 09:19:02:
...SpyTunes gebruiken om een website te hacken op nummer 2?
https://www.owasp.org/index.php/Top_10_2013-Top_10


De CSS van die website is precies zelf gehackt.
Die titels komen buiten hun kot
 
Chris PHP

Chris PHP

06/08/2013 09:58:25
Quote Anchor link
@Chris,

Wat is dat nou voor opmerking? Er staat toch duidelijk achter waarvoor het dient, wordt gebruikt om muziek uit itunes uit te lezen niet om webservers te hacken.

Tevens hack je met MySQL injections ook geen webservers, een webserver is meer dan alleen SQL.

Hier wat andere links.

SQL injection op 2
Top 10 2012
SQL injection op 10

Dit zijn dus 3 extra sources die aangeven dat SQL injection niet meer op 1 staat, opwegend tegen de source van jou.
 
Jan R

Jan R

06/08/2013 10:01:57
Quote Anchor link
Chris - op 06/08/2013 09:39:38:


Als ik je goed begrijp bedoel je dus dat ik geen % of _ mag toelaten.
Op de letter hack je dus de totale tabel. Of beter in dit geval je ziet de totale tabel.

Klopt dit?

Het is voor mij in elk geval nieuw dat dit niet opgevangen wordt.

Jan
Gewijzigd op 06/08/2013 10:02:50 door Jan R
 
Chris -

Chris -

06/08/2013 10:02:48
Quote Anchor link
Uit die laatste, "1. DDOS ATTACK – DISTRIBUTED DENIAL OF SERVICE ATTACK". Dat is niet eens hack, dat is gewoon flooden..

Nogmaals, ik heb het over website beveiliging. Je kunt dan moeilijk 'algemene hacking' gaan vergelijken met 'website hacking'.

Buiten dat, zie privebericht. Ik baseer het op eigen ervaring, xxx-xxxx websites waarbij SQL-injecties ruim op nummer 1 staan.

Toevoeging op 06/08/2013 10:03:41:

@Jan: Inderdaad :) Je zou kunnen kijken naar PDO en de prepared statements!
 
Erwin H

Erwin H

06/08/2013 10:21:14
Quote Anchor link
Chris NVT op 06/08/2013 09:58:25:
Dit zijn dus 3 extra sources die aangeven dat SQL injection niet meer op 1 staat, opwegend tegen de source van jou.

Boeien! Alsof het het probleem minder groot of minder erg maakt.

Kijk liever hiernaar:
Chris - op 06/08/2013 09:39:38:

Hier wordt tenminste info gegeven die wel interessant is, want dit is dus ook nieuw voor mij. Het gaat er dus om dat de escape functies niet de % en _ karakters escapen. Dank Chris, weer iets geleerd.
 
Chris PHP

Chris PHP

06/08/2013 10:29:27
Quote Anchor link
Erwin H op 06/08/2013 10:21:14:
Boeien! Alsof het het probleem minder groot of minder erg maakt.

Met het verkeerde been uit bed gestapt ofwat?

Ik zeg nergens dat het niet belangrijk is, geef alleen aan dat het niet meer op nummer 1 staat naar mijn mening. Reageer normaal anders reageer niet, blijf fatsoen houden doen we allemaal hier.
 
N K

N K

06/08/2013 10:33:43
Quote Anchor link
Bergijp ik uit onderstaand bericht dat dit ook voor PDO geldt?
En geldt dit alleen voor queries waar LIKE wordt gebruikt?

http://stackoverflow.com/questions/3683746/escaping-mysql-wild-cards
 
Bart V B

Bart V B

06/08/2013 10:35:21
Quote Anchor link
Misschien kan iemand me dan ook uitleggen hoe je een sql injectie maakt met % en _?
Om eerlijk te zijn zou dat ook nieuw zijn voor mij.
 
Chris PHP

Chris PHP

06/08/2013 10:39:36
Quote Anchor link
Chris - op 06/08/2013 10:02:48:
Uit die laatste, "1. DDOS ATTACK – DISTRIBUTED DENIAL OF SERVICE ATTACK". Dat is niet eens hack, dat is gewoon flooden..

Nogmaals, ik heb het over website beveiliging. Je kunt dan moeilijk 'algemene hacking' gaan vergelijken met 'website hacking'.

Of het nu gaat om een aanval op een database (wat niet specifiek een website is) of de webserver zelf, dat maakt geen verschil dat betekend niet dat hierdoor de website niet gehacked kan worden.

Tevens kan met man-in-the-middle net zo makkelijk data buit gemaakt worden dan met SQL injectie. Of het nu client-server methode is of direct op de SQL maakt niet uit, data wordt buitgemaakt en dit valt onder hacken.
 
Erwin H

Erwin H

06/08/2013 10:40:25
Quote Anchor link
Chris NVT op 06/08/2013 10:29:27:
Erwin H op 06/08/2013 10:21:14:
Boeien! Alsof het het probleem minder groot of minder erg maakt.

Met het verkeerde been uit bed gestapt ofwat?

Ik zeg nergens dat het niet belangrijk is, geef alleen aan dat het niet meer op nummer 1 staat naar mijn mening. Reageer normaal anders reageer niet, blijf fatsoen houden doen we allemaal hier.

En wat maakt het uit of het op nummer 1 of nummer 2 staat? NIETS, want je moet je website er nog steeds tegen wapenen. Dus laten we alsjeblieft over wel interessante dingen hebben, namelijk HOE je je er tegen kunt wapenen.



Toevoeging op 06/08/2013 10:43:20:

Bart V B op 06/08/2013 10:35:21:
Misschien kan iemand me dan ook uitleggen hoe je een sql injectie maakt met % en _?
Om eerlijk te zijn zou dat ook nieuw zijn voor mij.

Je kan er meer gegevens door ophalen dan de bouwer had gewild. Stel je hebt een query als dit:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
SELECT fields FROM table WHERE name LIKE 'abc%';

Nu wordt alles opgehaald wat begint met abc. Maar als jij als gebruiker nu niet abc ingeeft, maar %abc, dan wordt alles waar abc in voor komt, waar dan ook, opgehaald. Of het een hack is waar je uiteindelijk veel mee kan weet ik niet, maar het is per definitie wel een hack (omdat je het script iets anders laat doen dan de bedoeling was).
 
Chris PHP

Chris PHP

06/08/2013 10:47:42
Quote Anchor link
Erwin H op 06/08/2013 10:40:25:
En wat maakt het uit of het op nummer 1 of nummer 2 staat? NIETS, want je moet je website er nog steeds tegen wapenen. Dus laten we alsjeblieft over wel interessante dingen hebben, namelijk HOE je je er tegen kunt wapenen.


Dit is een Discussie over SQL injectie, en er werd aangegeven dat dit nummer 1 is. Dus we moeten ons hier dom houden en alleen focussen op SQL injectie? Had meer van je verwacht.

Nogmaals ik zeg nergens dat het niet belangrijk is, en als je mij een beetje kent weet je dat ook, dus reageer normaal of blijf stil.

Toevoeging op 06/08/2013 10:55:29:

@Chris,

Even over je bevindingen die je op hebt gedaan door de ervaring. Kun jij wat opheldering geven over de volgende punten.

- Wat voor site's waren het die gevoelig waren voor injectie (CMS systemen of zelfbouw sites)
- Wat was er niet goed aan de beveiliging (geen escapes, root access op db, etc)
- Wat voor bedrijven/personen waren het die de site's gemaakt hebben (beginners, ervaren, professionals, etc)

Thnx
Gewijzigd op 06/08/2013 10:50:28 door Chris PHP
 
Chris -

Chris -

06/08/2013 10:59:52
Quote Anchor link
Chris:
Dus we moeten ons hier dom houden en alleen focussen op SQL injectie?

nou, dit specifieke topic gaat in die zin wel puur over sql-injectie.. titel veranderen naar beveiliging algemeen is misschien dan wat makkelijker?

- allerlei soorten websites. van intranetten tot wordpress/joomla/drupal/e107/magento/dure pakketten. het was heel divers
- net die ene query die niet werd escaped of waarvan de validatie niet voldoende was ;-) that's all it takes..
- heel divers. ene keer beginners, andere keer professionals. een externe audit doen voor een grotere applicatie is altijd een goed idee. als je zelf je code bekijkt en je laat het door iemand anders zien, word je op andere dingen gewezen en kan je weer wat leren :)
 
Chris PHP

Chris PHP

06/08/2013 11:06:02
Quote Anchor link
@Chris,

Klopt dit stuk is specifiek voor SQL injectie, echter betekent het niet dat we de leden niet op andere punten kunnen wijzen die ook van belang zijn. Deze hoeven natuurlijk niet in dit topic besproken te worden, maar mensen op de hoogte brengen van andere methodes is niets mis mee.

Wij doen dit ook wanneer jantje met probleem X komt, en wij geven aan dat buiten dat probleem er bijvoorbeeld ook geen goede foutafhandeling in zit en/of er geen escapes plaatsvinden. Dit is omdat wij mensen hier helpen, en niet alleen kijken naar wat er gevraagd wordt.

Dank je voor de opheldering, even over de CMS systemen, is dit dan een fout in het CMS of custom code die de gebruiker er zelf in gezet heeft?
Gewijzigd op 06/08/2013 11:06:33 door Chris PHP
 
Chris -

Chris -

06/08/2013 13:59:16
Quote Anchor link
Zal zo de topictitel veranderen naar beveiliging algemeen :-) Is voor iedereen makkelijker!

Beide overigens Chris, zowel in de core als in de plugins van derden. WordPress en Joomla zijn daarin twee goede en grote voorbeelden. Beide hebben bugs in de core zitten, maar de plugins zijn de echte boosdoeners.
 
Ward van der Put
Moderator

Ward van der Put

06/08/2013 14:12:12
Quote Anchor link
Jan R op 06/08/2013 10:01:57:
Als ik je goed begrijp bedoel je dus dat ik geen % of _ mag toelaten.
Op de letter hack je dus de totale tabel. Of beter in dit geval je ziet de totale tabel.

Klopt dit?

Jan, als jouw serienummer $sn een integer is, kun je strenger zijn en uitsluitend integers toelaten.
 
Kris Peeters

Kris Peeters

06/08/2013 14:43:19
Quote Anchor link
Ik denk dat het voor iedereen nuttig zou zijn om te oefenen in het sql injecteren.

Zet een formulier (niet al te openbaar :) ); verwerk het onbeveiligd.
Probeer eens foute dingen te doen.
Zie dat je uit eigen ervaring hebt gezien wat mogelijk is.

Want vaak klinkt SQL injection als de "grote, boze wolf", iets mysterieus, waar hackers in donkere kamertjes samenzweren om ...
Terwijl het iets is wat in wezen heel gemakkelijk te begrijpen is; het perfect kan gedemonstreerd worden met simpele voorbeelden.

Misschien zouden die mensen de bescherming tegen injection wat beter appreciëren.
 

Pagina: « vorige 1 2 3 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.