SQL injections en meer... PERU. web application vulnerabilities Cross Site Scripting (21.5%) SQL Injection (14%) PHP includes (9.5%) Buffer overflows.

Slides:



Advertisements
Verwante presentaties
The stock market will go up De beurswaarden zullen stijgen YESNO JA NEEN Is Jefken a good person ? Is Jefken een goed mens ? YES NO JA NEEN Is Lonny a.
Advertisements

Deltion College Engels C1 Spreken [Edu/003] thema “Oprah at Deltion” can-do : kan duidelijke, gedetailleerde beschrijving geven van complexe onderwerpen,
Order placed Should be Nederland Netherlands can be removed here, just Scancorner Instead of ‘undefined’ -> ‘geen’ New logo should be displayed here. COUNTS.
Requirements -People are able to make their own memorial page, called a memori -The website will be build first in Dutch for extension.nl, then copied.
Hoe SQL injection werkt
Een alternatief voorstel Naar aanleiding van bestudering van de IAASB voorstellen denkt de NBA na over een alternatief. Dit alternatief zal 26 september.
Social Technographics Hoe ontwikkel je een succesvolle social media strategie? Reineke Reitsma Director, Consumer Technographics Forrester Research 11.
Internet College 2 Architecturen. Architectuur van netwerktoepassingen •Peer to peer –Windows werkgroep •File- en printer sharing •Internet connection.
Deltion College Engels C1 Gesprekken voeren [Edu/002]/ subvaardigheid lezen thema: Order, order…. can-do : kan een bijeenkomst voorzitten © Anne Beeker.
Smart Style on the Semantic Web Lynda Hardman CWI, Multimedia and Human-Computer Interaction TU/e, Multimedia and Internet Technology.
JQuery en ASP.NET Bart De Meyer.
1 Co-Design at Chess-iT Guus Bosman. 2 Afstuderen bij Chess Net.Footworks tot augustus 2003 Afstuderen augustus 2003 tot maart 2004 Chess full-time vanaf.
MASTERPROJECT M1 · Groep Equilibrium Marieke Steenbeeke Rick van Veghel Tim de Veen MASTERPROJECT M1 ZERO ENERGY BUILDING Previous weeks · Zero.
PHP & MYSQL LES 03 PHP & DATABASES. PHP & MYSQL 01 PHP BASICS 02 PHP & FORMULIEREN 03 PHP & DATABASES 04 CMS: BEST PRACTICE.
Past Simple – Past Continuous
Teams on the frontline Geert Stroobant De Heide - Balans
Vaardig? Een spectrum aan vaardigheden! Van informatie- naar media- naar exploratievaardig? Of e-Research & e-learning literate? Collaboration literate??
Nieuwe wegen in ontwerpen met CAD
RHODODENDRON.
OOS Object geOrienteerd Software-ontwerp - 4 Codeerperikelen Singleton Specificeren Scheiding GUI en Domein Facade.
Beyond Big Grid – Amsterdam 26 september 2012 Enquette 77 ingevulde enquettes, waarvan 60 met gebruikservaring = Mainly Computer Science.
Sunday, 20 July 2014 zondag 20 juli 2014 Click Klik.
Identification Documents Port of Ghent All documents in this leaflet are copies of identification/legitimation documents that authorise persons to access.
PROJECTCOMPETENCE MANAGEMENT SCREENCompetenciesEdit1 DESCRIPTIONCompetencies in the “Competentie beheer” is a link to the editwizard for competencies.
Woensdag 23 juli 2014 volgende vorige algemeen ziekenhuis Sint-Jozef Malle Dementia pathway: a condition specific approach Patrick De Wit, MD Thierry Laporta,
Server side scripting 1 Webtechnologie Lennart Herlaar.
In samenwerking met het Europees Sociaal Fonds en het Hefboomkrediet The role of APEL in career coaching and competence management Competence navigation.
Beeldverwerking Prof. dr. ir. W. Philips Didactisch materiaal bij de cursus Academiejaar
Beeldverwerking Prof. dr. ir. W. Philips Didactisch materiaal bij de cursus Academiejaar
Lezingenreeks : weefsels Introductie wiki. Wat is een wiki? Wiki From Wikipedia, the free encyclopedia A wiki is computer software that allows users to.
Netwerk Algorithms: Shortest paths1 Shortest paths II Network Algorithms 2004.
HOM - COM Ledenvergadering 08 / 10 / Soluto bootversneller Link software: Link naar filmke:
In Cyberspace VR meer performance minder theater (representatie, acteren) Hoe VR benaderen? Hoe werkt het? –VR draait om modulatie van modulatie (ook.
Motivation One secret for success in organizations is motivated and enthusiastic employees The challenge is to keep employee motivation consistent with.
Deltion College Engels C1 Schrijven [Edu/002] thema: CV and letter of application can-do : kan complexe zakelijke teksten schrijven © Anne Beeker Alle.
Deltion College Engels B1 Gesprekken voeren [Edu/005] thema: applying for a job can-do : kan een eenvoudig sollicitatiegesprek voeren © Anne Beeker Alle.
Deltion College Engels C1 Gesprekken voeren [Edu/004]/ thema: There are lies, damned lies and statistics... can-do : kan complexe informatie en adviezen.
Deltion College Engels B2 Schrijven [Edu/004] thema: (No) skeleton in the cupboard can-do: kan een samenhangend verhaal schrijven © Anne Beeker Alle rechten.
Deltion College Engels B1 En Spreken/Presentaties [Edu/007] Thema: Soap(s) can-do : kan met enig detail verslag doen van ervaringen, in dit geval, rapporteren.
Deltion College Engels En Projectopdracht [Edu/001] thema: research without borders can-do/gesprekken voeren : 1. kan eenvoudige feitelijke informatie.
Deltion College Engels C1 Spreken/Presentaties [Edu/006] thema ‘I hope to convince you of… ‘ can-do : kan een standpunt uiteenzetten voor een publiek van.
Deltion College Engels B1 Schrijven [Edu/004]/ subvaardigheid lezen thema: reporting a theft can-do : kan formulieren waarin meer informatie gevraagd wordt,
Deltion College Engels C1 Gesprekken voeren [Edu/006] thema: ‘I was wondering what you think of…’ can-do : kan deelnemen aan de conversatie bij zeer formele.
Telecommunicatie en Informatieverwerking UNIVERSITEIT GENT Didactisch materiaal bij de cursus Academiejaar
Didactisch materiaal bij de cursus Academiejaar Tel: 09/ Fax: 09/
Telecommunicatie en Informatieverwerking UNIVERSITEIT GENT Didactisch materiaal bij de cursus Academiejaar
Marcel Crok | De staat van het klimaat Lezing KNAW klimaatbrochure Seminar | Maandag 12 december | Nieuwspoort Den Haag.
Web Applicaties Bouwen met Visual Studio .NET
1 december KC Development Tools Hands-on Oracle HTML DB v2.0.
EML en IMS Learning Design
Link Popularity Het principe van linkpopulariteit kun je als volgt samenvatten: hoe meer webpagina's er naar een bepaalde webpagina linken, des te belangrijker.
Klik op een vlag. Click on a flag Language: Jefken is altijd daar om te helpen ! Jefken is always there to help !
Dick Dijkstra Azure Technical Specialist Microsoft
Het geheim van Linked Data Marcel ReuversGeonovum CB-NL 20 november 2014.
Deltion College Engels B1 Schrijven [Edu/003] thema: what have I done wrong…? can-do : kan s/ brieven schrijven over persoonlijke zaken © Anne Beeker.
Deltion College Engels B1 Gesprekken voeren [Edu/006] thema: Look, it says ‘No smoking’… can-do : kan minder routinematige zaken regelen © Anne Beeker.
Deltion College Engels B2 Schrijven [Edu/006] thema: Euromail can-do : kan in persoonlijke s nieuws en standpunten van een ander becommentariëren.
Deltion College Engels C1 Spreken [Edu/002] thema: A book that deserves to be read can-do : kan duidelijke, gedetailleerde samenvatting geven van een gelezen.
Deltion College Engels C1 Schrijven [Edu/007] thema: Mind twister or how to write an essay… can-do : kan heldere, goed gestructureerde uiteenzetting schrijven.
Deltion College Engels C1 Schrijven [Edu/006] thema: Dear editor,
Nothing Is As It Seems Lesson 7 What’s the Story?.
Deltion College Engels B2 Lezen [Edu/003] thema: Topical News Lessons: The Onestop Magazine can-do: kan artikelen en rapporten begrijpen die gaan over.
Deltion College Engels B1 Spreken [Edu/001] thema: song texts can-do : kan een onderwerp dat mij interesseert op een redelijk vlotte manier beschrijven.
Deltion College Engels C1 Gesprekken voeren [Edu/001]/ subvaardigheid lezen thema: What a blooper…. can-do : kan taal flexibel en effectief gebruiken voor.
Deltion College Engels B2 Schrijven [Edu/005] thema: Writing a hand-out can-do: kan een begrijpelijke samenvatting schrijven © Anne Beeker Alle rechten.
Deltion College Engels B2 Gesprekken voeren [Edu/007] thema: ‘With this mobile you can…’ can-do : kan op betrouwbare wijze gedetailleerde informatie doorgeven.
Deltion College Engels B2 (telefoon)gesprekken voeren[Edu/002] /subvaardigheid lezen/schrijven thema: I am so sorry for you… can-do : kan medeleven betuigen.
Hoeveel aandacht besteed jij aan security testing? 1 Security is always excessive until it's not enough.
The Research Process: the first steps to start your reseach project. Graduation Preparation
Database connect formulieren 1 februari 2016.
Transcript van de presentatie:

SQL injections en meer... PERU

web application vulnerabilities Cross Site Scripting (21.5%) SQL Injection (14%) PHP includes (9.5%) Buffer overflows (7.9%)

SQL injections Geen input validation Hoe gaat het in zijn werk? Voorbeeld code

PHP voorbeeld $wachtwoord = $_POST['wachtwoord']; // maak verbinding met DB $result = query("SELECT geheimeinfo FROM tabel WHERE wachtwoord='$wachtwoord'"); Wat gebeurd er nu wanneer er “a' OR '1” wordt ingevoerd?

Hoe te voorkomen? escape de '$wachtwoord' variabele met 'addslashes' of beter 'mysql_real_escape_string'. $wachtwoord = $_POST['wachtwoord']; // maak verbinding met DB $result = query("SELECT geheimeinfo FROM tabel WHERE wachtwoord='". mysql_real_escape_string($wachtwoord). "'");

Hoe te voorkomen ? (II) gebruik prepared statements met de mysqli of de PDO Mysql extensies. Bijvoorbeeld (met mysqli): $wachtwoord = $_POST['wachtwoord']; // maak verbinding met DB $stmt = $DB->prepare("SELECT geheimeinfo FROM tabel WHERE wachtwoord = ?"); $stmt->bind_param("s", $wachtwoord); $stmt->bind_result($geheimeinfo); if ($stmt->execute && $stmt->fetch()){ // OK }else{ // niet OK } $stmt->close();

Validate input! Het leek eenvoudig... Maar we weten.. Validate input! Probeer niet te detecteren wat incorrect is Check of het correct is. Artikel IBMIBM

XSS Cross Site Scripting XSSXSS 3 soorten XSS aanvallen Dom-Based Non-Persistent Persistent

Een filmpje.. voorbeeld

De plot. Mallory posts a message to a social network. When Bob reads the message, Mallory's XSS steals Bob's cookie. Mallory can hijack Bob's session and impersonate Bob

Dom-Based attack Mallory sends the URL of a maliciously constructed web page to Alice, using or another mechanism. Alice clicks on the link. The malicious web page's JavaScript opens a vulnerable HTML page installed locally on Alice's computer. The vulnerable HTML page contains JavaScript which executes in Alice's computer's local zone. Mallory's malicious script now may run commands with the privileges Alice holds on her own computer.

Non-Persisent Alice often visits a particular website, which is hosted by Bob. Bob's website allows Alice to log in with a username/password pair and store sensitive information, such as billing information. Mallory observes that Bob's website contains a reflected XSS vulnerability. Mallory crafts a URL to exploit the vulnerability, and sends Alice an , making it look as if it came from Bob (i.e., the is spoofed). Alice visits the URL provided by Mallory while logged into Bob's website. The malicious script embedded in the URL executes in Alice's browser, as if it came directly from Bob's server. The script can be used to Alice's session cookie to Mallory. Mallory can then use the session cookie to steal sensitive information available to Alice (authentication credentials, billing info, etc) without Alice's knowledge.

Persistent Bob hosts a web site which allows users to post messages and other content to the site for later viewing by other members. Mallory notices that Bob's website is vulnerable to a type 2 XSS attack. Mallory posts a message, controversial in nature, which may encourage many other users of the site to view it. Upon merely viewing the posted message, site users' session cookies or other credentials could be taken and sent to Mallory's webserver without their knowledge. Later, Mallory logs in as other site users and posts messages on their behalf....

Hoe te voorkomen? Escaping and filtering Input validation Cookie security Eliminating scripts