website attack

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Functioneel Applicatiebeheerder

Wij van CNB zijn op zoek naar een leergierige Functioneel Applicatiebeheerder CNB is de grootste dienstverlener in de markt van bloembollen en vaste planten. In deze markt verricht CNB de volgende diensten: bemiddeling, veilen en het koelen en prepareren van bloembollen. Vanuit ons hoofdkantoor in Lisse werken bijna 100 collega’s dag in dag uit aan de bemiddeling van bloembollen. In Bovenkarspel vindt het koelen en prepareren van de bloembollen plaats. Wij zijn op zoek naar een enthousiaste Functioneel Applicatiebeheerder die naast een applicatie, ook sfeer kan bouwen! Jij: Vindt het leuk om binnen een klein IT-team aan de slag te

Bekijk vacature »

Senior .NET developer

Klaar voor een nieuwe uitdaging? Welke technologieën gaan schuil achter de dagelijkse energievoorziening? Als senior .NET developer bij Kenter maak jij samen met je team het verschil, zowel voor de interne organisatie als voor eindklanten. Samen bouwen jullie aan innovatieve dienstverlening met behulp van de nieuwste technologieën en tools. Het is een functie met veel vrijheid, goede arbeidsvoorwaarden én je draagt jouw steentje bij aan de energietransitie. Klinkt dit als iets voor jou? Lees dan verder of solliciteer direct! Wat ga je doen als senior .NET developer? Als senior .NET developer bij Kenter (onderdeel van Alliander) ben je van onschatbare

Bekijk vacature »

Medior/Senior Software Developers gezocht in de Ra

Functie Op dit moment staan er posities open voor de volgende functies: Front-end, Back-End & Fullstack software developer. Als Front-End software developer werk je met JavaScript en de bijbehorende technologieën zoals TypeScript, Angular, React, Vue en Svelte. Als Back-End software developer ben je bezig in NodeJS en doe je dit met behulp van AWS, NoSQL, REST en GraphQL. Je krijgt leuke en uitdagende opdrachten met een gemiddelde duur van anderhalf jaar. Hier werk je in een team met andere IT’ers aan het ontwikkelen en verbeteren van software. Je wordt begeleid door een accountmanager die fungeert als jouw aanspreekpunt. Het team

Bekijk vacature »

.NET Developer Medior Senior

Dit ga je doen Ontwikkelprocessen verder optimaliseren en verder ontwikkelen met C#; CI/CD-pipelines automatiseren; Herbruikbare componenten maken; Testen; Front-end pagina's gebruiksvriendelijk maken. Hier ga je werken Als .NET Developer kom jij terecht binnen een grote en internationale organisatie. Zij streven naar een positieve impact op de mens, milieu en maatschappij. Het bedrijf is oorspronkelijk een familiebedrijf en werkt aan de productie van hoogwaardige en technische systemen voor de gezondheidszorg. Momenteel willen zij betere ontwikkelprocessen creëren op internationaal gebied en staat kwaliteit en veiligheid voor hun op nummer 1! Als .NET Developer werk jij aan het ontwikkelen van verbeterde software voor

Bekijk vacature »

Lead developer

Functie Als lead developer wordt jij verantwoordelijk voor een van onze development teams. Samen met de Software Architect bewaak jij de kwaliteit en uitvoering van onze complexe vraagstukken. Daarnaast ben jij verantwoordelijk voor het inschatten, designen en ontwikkelen van middelgrote tot grote veranderingen in de software. Ook coördineer jij het proces rondom complexe technische vraagstukken. Verder bestaat jouw takenpakket uit het volgende: – Het aansturen van jouw development team; – Het begeleiden van Junior Software Engineers; – Het maken van technische analyses m.b.t. nieuwe aanvragen en het tijdsbestek inschatten voor de uitvoering hiervan; – Het uitvoeren van de ontwikkeling van

Bekijk vacature »

Front end ontwikkelaar

Functie Het huidige team bestaat uit momenteel uit 5 back end developers verdeeld van senior tot junior. Omdat de gehele front end van applicaties anders gaan insteken zijn ze op zoek naar een ervaren Front end developer die hen kan helpen de juiste keuzes te maken. Je krijgt veel vrijheid om te bepalen hoe je dit wilt ontwikkelen en vrijheid in welke techniek je hiervoor wilt gebruiken. Je zult je dus bezighouden met architectuur, documentatie en natuurlijk ontwikkeling van nieuwe functionaliteiten binnen de verschillende applicaties. natuurlijk heb jij ook mogelijkheden om te sparren binnen het team, maar ze gaan uit

Bekijk vacature »

Junior PHP ontwikkelaar

Functie Wij hebben onlangs onze eerste collega’s aangenomen, waardoor ons development team momenteel uit 4 personen bestaat. We bouwen onze software op basis van een PHP-framework (wat op zichzelf een Symfony framework is). Qua ontwikkeling focussen wij ons op 3 focus velden; – API-ontwikkeling/ Component Creatie – Implementatie – Framework ontwikkeling; het toevoegen van nieuwe functionaliteit of interne microservices Onze senior software engineer focust zich momenteel op de laatste twee punten, maar wij komen handen te kort op het eerste veld. Daarom zijn wij op zoek naar een enthousiaste junior software engineer die graag de kneepjes van het vak wil

Bekijk vacature »

Junior .NET developer

Functie Als junior .NET ontwikkelaar start jij in een ontwikkelteam met 7 .NET developers. In ons team werken er drie senior .NET developer, twee medior .NET developers en twee junior .NET developers. Er is dan ook genoeg senioriteit in ons team om jou te kunnen bieden wat jij nodig hebt! Wij werken in scrum en hebben drie wekelijkste sprints. Daarnaast doen wij minimaal vier keer per jaar een release. Ons platform is ontzettend complex en groot. Het is dan ook in het begin belangrijk dat jij de processen gaat begrijpen. Jij krijgt dan ook een cursus om beter te begrijpen

Bekijk vacature »

Cymer Patch Server Developer

Vacature details Vakgebied: Software/IT Opleiding: Senior Werklocatie: Veldhoven Vacature ID: 12919 Introductie This new patch server will be built on Python and Django ReST and GraphQL services with a React frontend, it will consist of several microservices and run on a Kubernetes cluster. It will be supported by several middleware applications such as ElasticSearch, Redis, RabbitMQ, Oracle and Artifactory. Functieomschrijving The Patch Admin team always aim to deliver software at a high quality, we avoid sacrifices here to maintain our velocity. Practically this means that we practice test driven development and perform end-to-end automated testing on our software. This means

Bekijk vacature »

Senior Node.js developer Digital Agency

Functie Door de groei van de organisatie zijn ze op zoek naar een Tech Lead. Als tech lead ben jij verantwoordelijk Als Back end Node.js developer kom je terecht in een van de 8 multidisciplinaire teams in het projectenhuis. Afhankelijk van jouw interesses, wensen en capaciteiten word je bij projecten en onderwerpen naar keuze betrokken. Als ervaren ontwikkelaar zul jij vaak leiding nemen in de projecten en in het team een aanvoerder zijn van technische discussies. Uiteindelijk wil jij natuurlijk de klantwensen zo goed mogelijk vertalen naar robuuste code. De projecten kunnen varieren van langlopende- tot kleinschalige trajecten. Voorheen werkte

Bekijk vacature »

Senior PHP developer/ Software Architect

Functie Momenteel zijn ze op zoek naar een ervaren PHP developer die zichzelf graag bezighoudt met zaken als architectuur en de algehele verbetering van structuren en standaarden. Het is eigenlijk meer operationeel als uitvoerend omdat je bezig gaat met zaken als het verder uitrollen en verbeteren van testautomatisering, codereviews, tickets en de doorloop hiervan en architectuurkeuzes. Mocht je hiernaast ook wat DevOps kennis meenemen is dit mooi meegenomen! Vanwege het kleine team maar de wereldwijde impact die zij leveren is er veel focus op kwaliteit. In deze functie werk je aan één van hun belangrijkste applicaties. Hierin werk je nauw

Bekijk vacature »

Als Front-end developer samenwerken met de beste c

Functie Momenteel zijn we voor één van de projecten bij hun key partner, een voorloper in de energiesector, op zoek naar gedreven Front-end developers. Ze nemen de lead in dit project en werken uitsluitend met vooruitstrevende technologieën. Ze verwachten dat de technologie die hier wordt ontwikkeld uiteindelijk door veel meer grote corporates, in verschillende sectoren zal worden toegepast. Dit is dan ook een heel uitdagend project om aan mee te gaan werken. Het team bestaat o.a. uit User Experience designers, Data Scientists en Software Engineers. De consultants en ontwikkelaars werken volgens de Design Thinking methode waarbij de eerste stappen van

Bekijk vacature »

Team Lead Java Developer

Functie Wat ga je doen als Java developer? Als Team Lead Java Developer draag een grote verantwoordelijk je stuurt ontwikkelaars aan en staat dagelijks in contact met jou ICT Manager. De team Bestaat uit front-end en backend systemen. Je ben in staat op hoog niveau de technische vak te bepalen en ook te bewaren. Je dag zie er als volgt uit, ontwikkelen van nieuwe en bestaande applicaties, het uitvoeren van processen en analyses en het beschrijven van functioneel ontwerpen. Ook zal samen met jouw Tester applicaties gaan testen door middel van peer reviews en het leveren van support aan gebruikers

Bekijk vacature »

Low-Code Expert/Developer: Power Platform Speciali

Bedrijfsomschrijving Als Low-Code Expert/Developer bij ons innovatieve bedrijf, neem je een cruciale rol op je in de creatie, ondersteuning en implementatie van diverse oplossingen met behulp van het veelzijdige Power Platform. Dit platform omvat Power Apps, Power BI, Power Automate, Power Virtual Agent en Azure Logic Apps. Het Power Platform biedt je de mogelijkheid om klanten te voorzien van naadloze integraties door op maat gemaakte oplossingen te creëren die compatibel zijn met (bijna) alle bestaande software-infrastructuren. Dankzij het uitgebreide scala aan toepassingen, krijg je de kans om als architect en projectleider van je eigen oplossing te fungeren. Dompel jezelf onder

Bekijk vacature »

Senior Java developer

Dit ga je doen Jouw taken als Senior Java Developer zijn: Het maken van strategische keuzes omtrent de nieuwbouw van applicaties; Het maken van technische ontwerpen; Hands-on mee ontwikkelen met het team (met o.a. Java FX, JDBC, SQL, REST, Jax-RS, JSON, Maven, JUnit en Spring (boot)); Reviewen van code en feedback geven op collega developers; Analyseren en oplossen van bugs/incidenten door het onderlinge verband te kunnen leggen van verschillende losstaande systemen. Hier ga je werken Het bedrijf waar je als Senior Java Developer komt te werken staat internationaal bekend om het testen van bodemstructuren door middel van echotechnieken en beeldherkenning.

Bekijk vacature »
J C

J C

15/02/2015 17:19:58
Quote Anchor link
Sinds twee dagen wordt mijn website aangevallen, waardoor het de website overbelast werd.

Je krijgt dan als foutmelding iets als: exceeded the max_connections_per_hour.

Inmiddels is dit verhoogd waardoor de website weer bereikbaar is.

Als ik de errorlog erbij pak krijg ik veel dingen als onderstaande meldingen, is hieruit op te maken dat er een grove fout in mijn script zit dat ze aan het gebruiken zijn?

Quote:
[Sun Feb 15 01:20:03.630711 2015] [:error] [pid 4543] [client #####] PHP Fatal error: Uncaught exception 'mysqli_sql_exception' with message 'The used SELECT statements have a different number of columns' in *****\nStack trace:\n#0 *****: mysqli->query('\\n\\t\\t\\t\\t\\t\\tSELECT\\n\\t...')\n#1 ***** \n#2 {main}\n thrown in ***** on line 71, referer: *****'+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39,0x393133353134353632372e39,0x393133353134353632382e39,0x393133353134353632392e39,0x39313335313435363231302e39,0x39313335313435363231312e39,0x39313335313435363231322e39,0x39313335313435363231332e39,0x39313335313435363231342e39,0x39313335313435363231352e39,0x39313335313435363231362e39,0x39313335313435363231372e39,0x39313335313435363231382e39,0x39313335313435363231392e39,0x39313335313435363232302e39,0x39313335313435363232312e39,0x39313335313435363232322e39,0x39313335313435363232332e39,0x39313335313435363232342e39,0x39313335313435363232352e39,0x39313335313435363232362e39,0x39313335313435363232372e39,0x39313335313435363232382e39,0x39313335313435363232392e39,0x39313335313435363233302e39,0x39313335313435363233312e39,0x39313335313435363233322e39,0x39313335313435363233332e39,0x39313335313435363233342e39,0x39313335313435363233352e39,0x39313335313435363233362e39,0x39313335313435363233372e39,0x39313335313435363233382e39,0x39313335313435363233392e39,0x39313335313435363234302e39,0x39313335313435363234312e39,0x39313335313435363234322e39,0x39313335313435363234332e39,0x39313335313435363234342e39,0x39313335313435363234352e39,0x39313335313435363234362e39,0x39313335313435363234372e39,0x39313335313435363234382e39,0x39313335313435363234392e39,0x39313335313435363235302e39,0x39313335313435363235312e39,0x39313335313435363235322e39,0x39313335313435363235332e39,0x39313335313435363235342e39,0x39313335313435363235352e39,0x39313335313435363235362e39,0x39313335313435363235372e39,0x39313335313435363235382e39,0x39313335313435363235392e39,0x39313335313435363236302e39,0x39313335313435363236312e39,0x39313335313435363236322e39,0x39313335313435363236332e39,0x39313335313435363236342e39,0x39313335313435363236352e39,0x39313335313435363236362e39,0x39313335313435363236372e39,0x39313335313435363236382e39,0x39313335313435363236392e39,0x39313335313435363237302e39,0x39313335313435363237312e39,0x39313335313435363237322e39,0x39313335313435363237332e39,0x39313335313435363237342e39,0x39313335313435363237352e39,0x39313335313435363237362e39,0x39313335313435363237372e39,0x39313335313435363237382e39,0x39313335313435363237392e39,0x39313335313435363238302e39,0x39313335313435363238312e39,0x39313335313435363238322e39,0x39313335313435363238332e39,0x39313335313435363238342e39,0x39313335313435363238352e39+and+'0'='0--


Quote:
[Sun Feb 15 01:18:52.338818 2015] [:error] [pid 4542] [client ######] PHP Fatal error: Uncaught exception 'mysqli_sql_exception' with message 'You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(/**/sElEcT 1 /**/fRoM(/**/sElEcT count(*),/**/cOnCaT((/**/sElEcT(/**/sElEcT /**' at line 10' in *****\nStack trace:\n#0 *****: mysqli->query('\\n\\t\\t\\t\\t\\t\\tSELECT\\n\\t...')\n#1 *****): include_once('***o...')\n#2 {main}\n thrown in ***** on line 71, referer: *****(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fuNhEx(%2f**%2fhEx(%2f**%2fcOnCaT(0x217e21,0x4142433134355a5136324457514146504f4959434644,0x217e21))))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+'


Quote:
[Sun Feb 15 01:18:52.597517 2015] [:error] [pid 4526] [client ######] PHP Fatal error: Uncaught exception 'mysqli_sql_exception' with message 'Duplicate entry '!~!ABC145ZQ62DWQAFPOIYCFD!~!1' for key 'group_key'' in *****\nStack trace:\n#0 *****: mysqli->query('\\n\\t\\t\\t\\t\\t\\tSELECT\\n\\t...')\n#1 *****: include_once('***...')\n#2 {main}\n thrown in ***** on line 71, referer: *****'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fuNhEx(%2f**%2fhEx(%2f**%2fcOnCaT(0x217e21,0x4142433134355a5136324457514146504f4959434644,0x217e21))))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1
Gewijzigd op 15/02/2015 21:14:59 door J C
 
PHP hulp

PHP hulp

24/04/2024 06:05:37
 
Eeyk Vd noot

Eeyk Vd noot

15/02/2015 17:38:03
Quote Anchor link
Als ik het zo zie dan hebben ze een sql injectie gebruikt.
 
J C

J C

15/02/2015 17:41:21
Quote Anchor link
Dat dacht ik eerst ook, maar het stukje zou volgens mij veilig moeten zijn:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
$mainqry    ="
                        SELECT
                                website_titel,
                                website_naam,
                                website_inhoud  
                        FROM
                                website
            ";
                                
if (!isset ($_GET['pagina']) || $_GET['pagina'] == '')
    {                                
$mainqry     .="            WHERE
                                website_id=201
            ";
    }                                    
else            
    {                      
$mainqry     .="         WHERE
                                website_id BETWEEN  200 and 299
                        AND
                                website_naam='".mysql_real_escape_string($_GET['pagina'])."'
            ";
    }
    
    $mainsql = $connection->query($mainqry);
    


IS er hier uit te halen of ze er ook in zijn gekomen?
Gewijzigd op 15/02/2015 17:41:42 door J C
 
Ward van der Put
Moderator

Ward van der Put

15/02/2015 17:42:32
Quote Anchor link
Iemand probeert je site te hacken met SQL-injectie. Als dat in een fatal error eindigt, is dat niet zo'n probleem; je moet je meer zorgen maken over de injecties die wél slagen en die je daardoor niet als error voorbij ziet komen.

Als /medewerkers/ alleen voor medewerkers toegankelijk is, zou ik die directory snel even dichttimmeren met een whitelist van vertrouwde IP-adressen in .htaccess. Dat is de snelste oplossing. (Je voorbeelden noemen slechts één kwaadaardig IP-adres, maar er kunnen meerdere IP-adressen worden gebruikt.)

Daarna eens controleren of je ergens gevoelig bent voor SQL-injectie.
 
J C

J C

15/02/2015 17:46:02
Quote Anchor link
Bedankt, ik was al bezig alles overzetten naar het nieuwe php en daarmee alle scripts te controleren.
Maar dat heeft dus vanaf nu prioriteit nummer 1.

Ik kan uit de database niet halen dat er iemand is ingelogd.
Dit wordt namelijk wel bijgehouden.

We hebben best wel wat medewerkers, die ook via hun telefoon inloggen op de website.
Ik zal eens kijken of ik al die ipadressen kan gebruiken.
 
Thomas van den Heuvel

Thomas van den Heuvel

15/02/2015 19:31:13
Quote Anchor link
$connection->query($mainqry);
<-- -->
mysql_real_escape_string($_GET['pagina'])

???

Gebruik je overal (nog) de mysql-extensie?
En als je dan toch een wrapper hebt, waarom maak je dan geen shorthand voor mysql_real_escape_string()?
$connection->escape() leest toch wat prettiger. Ik zou het ook $db noemen, en niet $connection.

Het zou ook logischer zijn dat als je van een wrapper gebruik maakt, ook alles in deze wrapper zit.

Daarnaast, weet je zeker dat de bovenstaande query je parten speelt?
Tevens, is je character encoding overal hetzelfde? Dit is namelijk van cruciaal belang voor de correcte werking van _real_escape_string() functionaliteit en daarmee dus ook voor het voorkomen van SQL-injectie.

En ook: het escapen van je (SQL) output alleen is soms niet genoeg. Soms moet je je input ook filteren.
Als je een numerieke waarde verwacht in $_GET['whatever'], controleer hier dan op. Als deze waarde vervolgens niet numeriek is, zou je de query niet eens uit moeten voeren.
 
J C

J C

15/02/2015 19:46:18
Quote Anchor link
Ik ben nu alles aan het omzetten naar mysqli en probeer meteen dit soort dingen te tackelen.
Door de jaren heen zijn die basis bestanden een beetje verwaterd.
Het is me ook niet helemaal meer duidelijk waarom ik dit zo heb gedaan.

ik heb er nu dit van gemaakt:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
if(isset($_GET['pagina'])){
$pagina = $_GET['pagina'];
}
else
{
$pagina = 'home';
}

$qry    ="
    SELECT
            website_titel,
            website_naam,
            website_inhoud  
    FROM
            website
    WHERE
        website_id
            BETWEEN  200 and 299
    AND
        website_naam=?
            ";

    $statement = $connection->prepare($qry);
    $statement->error;
    $statement->bind_param('s', $pagina);
    $statement->execute();
    $result = $statement->get_result();
    $maintekst = $result->fetch_assoc();  
 
Thomas van den Heuvel

Thomas van den Heuvel

15/02/2015 20:17:38
Quote Anchor link
Wellicht wil je je oorspronkelijke bericht ook anonimeseren.

Hier zitten nu nog remote IP's in (die trouwens van nederlandse origine lijken te zijn :)) en de URL van je website.

Waarschijnlijk wil je juist nu niet nog meer mensen hebben die aan jouw poort(en) gaan voelen wel?
Gewijzigd op 15/02/2015 20:18:12 door Thomas van den Heuvel
 
J C

J C

15/02/2015 20:25:40
Quote Anchor link
Dat ip adres had hij eerder moeten bedenken. Voordat hij aan mijn website begon te rommelen.
We hebben een behoorlijk vermoeden wie er achter zit. Namelijk degene die al maanden probeert via het inlog scherm probeert in te loggen.
 
Thomas van den Heuvel

Thomas van den Heuvel

15/02/2015 20:35:09
Quote Anchor link
Misschien gebeurt dit via een website die een even goede beveiliging had als die van jou.
 
J C

J C

15/02/2015 20:36:53
Quote Anchor link
Als dat werkelijk zo zou zijn, dan is het nog steeds zijn eigen schuld.

Maar gezien het ipadres en zijn geschiedenis op onze website vermoed ik wat anders.
Gewijzigd op 15/02/2015 20:37:38 door J C
 
- wes -

- wes -

16/02/2015 09:04:38
Quote Anchor link
Als je het IP van iemand hebt die dit doet , waarom deze niet excluden van je gehele site?
 
J C

J C

16/02/2015 10:02:59
Quote Anchor link
hoe doe ik dat? In de htacces?
 
Ivo P

Ivo P

16/02/2015 10:10:53
Quote Anchor link
Allow from all
Deny from 111.222.333.444

Evt hoofdletter gebruik even checken
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.