DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Als je vragen hebt over PHP/MySQL, dan zit je hier goed met een vaste kliek guru's en een groot aantal regelmatige bezoekers. Beperk je vragen niet tot "hij doet het niet" of "hij geeft een fout" - onze glazen bol is kapot en we willen graag van je weten wát er niet lukt en wélke foutmelding je precies krijgt
Zie ook:
• PHP Dataverwerking
• Officiële PHP website
• PHP Documentatie
• MySQL Reference Manual
• Yet Another PHP Faq
• PHP Cheat Sheet
• PHP5 Power Programming - boek met uitleg over OOP, Pear, XML, etc
Tutorials:
• W3Schools PHP
• W3Schools SQL
Of je GET of POST gebruikt maakt helemaal niets uit voor de behandeling van de invoer. Het is en blijft user input, en dat is niet te vertrouwen.quote:Op zaterdag 21 april 2012 13:47 schreef themole het volgende:
[..]
Zou het als ik jou was snel oplossen, de onderste site in je signature is al vatbaar daarvoor.
Verander ?id=9 maar eens in ?id='; krijg je meteen een error.
Ja een error, maar dat moeten mensen ook niet zelf gaan invullen natuurlijk, als ik naar google.nl/niks ga krijg ik ook een error.quote:
[..]
Zou het als ik jou was snel oplossen, de onderste site in je signature is al vatbaar daarvoor.
Verander ?id=9 maar eens in ?id='; krijg je meteen een error.
Maar kunnen ze echt schade aanrichten? Want ik heb ook sites voor bedrijven e.d. gemaakt op deze manier.
Wat doet bijvoorbeeld
<?php
'SELECT * FROM `table`
WHERE `string` = "'.mysql_real_escape_string($_GET['foo']).'"
AND `number` = '.intval($_GET['bar']);
?>
dat stukje, die zorgt ervoor dat je alleen maar een woord kan invullen en geen mysql code ofzo?
Bij Google krijg je een error die door Google zelf is gegenereerd. Bij jouw sites krijg je errors die door PHP worden gemaakt. In feite help je hackers door ze informatie te geven over hoe jouw programmatuur in elkaar steekt.quote:Op zaterdag 21 april 2012 13:58 schreef JDx het volgende:
[..]
Ja een error, maar dat moeten mensen ook niet zelf gaan invullen natuurlijk, als ik naar google.nl/niks ga krijg ik ook een error.
Ja, je kunt sowieso alle data in je database uitlezen. Als hetzelfde MySQL-account ook schrijfrechten heeft, kan de database ook worden aangepast.quote:Maar kunnen ze echt schade aanrichten? Want ik heb ook sites voor bedrijven e.d. gemaakt op deze manier.
mysql_real_escape_string() zorgt ervoor dat het niet mogelijk is om uit de quotes die om je query staan te breken. Daardoor blijft alle user-input onderdeel van jouw query en kan een kwaadwillende niet zelf een nieuwe query uitvoeren.quote:Wat doet bijvoorbeeld
<?php
'SELECT * FROM `table`
WHERE `string` = "'.mysql_real_escape_string($_GET['foo']).'"
AND `number` = '.intval($_GET['bar']);
?>
dat stukje, die zorgt ervoor dat je alleen maar een woord kan invullen en geen mysql code ofzo?
Waar zeg ik dat het uitmaakt of je POST of GET gebruikt? Ik geef alleen maar een voorbeeld, in dit geval via GET, maar via POST is het natuurlijk ook niet te vertrouwen.quote:
[..]
Of je GET of POST gebruikt maakt helemaal niets uit voor de behandeling van de invoer. Het is en blijft user input, en dat is niet te vertrouwen.
http://nl.wikipedia.org/wiki/SQL-injectiequote:
[..]
Ja een error, maar dat moeten mensen ook niet zelf gaan invullen natuurlijk, als ik naar google.nl/niks ga krijg ik ook een error.
Maar kunnen ze echt schade aanrichten? Want ik heb ook sites voor bedrijven e.d. gemaakt op deze manier.
Wat doet bijvoorbeeld
<?php
'SELECT * FROM `table`
WHERE `string` = "'.mysql_real_escape_string($_GET['foo']).'"
AND `number` = '.intval($_GET['bar']);
?>
dat stukje, die zorgt ervoor dat je alleen maar een woord kan invullen en geen mysql code ofzo?
Niet altijd serieus
Dat vraagt JDx.quote:
[..]
Waar zeg ik dat het uitmaakt of je POST of GET gebruikt?
Je reageert op een vraag of er post gebruikt moet worden met een opmerking 'zo zou ik het doen'. En dan reageer ik daar weer op.quote:
[..]
Waar zeg ik dat het uitmaakt of je POST of GET gebruikt? Ik geef alleen maar een voorbeeld, in dit geval via GET, maar via POST is het natuurlijk ook niet te vertrouwen.
Ja ik ben bezig, maar zie niet hoe, pm eens hoe je het doet?
Please help ff, want ik heb ook CMS'en gemaakt voor bedrijven, software om medewerkers in te plannen bij Restaurants, etc.
Please help ff, want ik heb ook CMS'en gemaakt voor bedrijven, software om medewerkers in te plannen bij Restaurants, etc.
http://kledingmerken.jdx.nl/single.php?id=44
Je doet ergens $_GET['id'] richting de database, begin dat eerst maar eens te veranderen naar mysql_real_escape_string($_GET['id'])
Beste is om PDO te gebruiken.
Je doet ergens $_GET['id'] richting de database, begin dat eerst maar eens te veranderen naar mysql_real_escape_string($_GET['id'])
Beste is om PDO te gebruiken.
PDO?
Maar laat eens zien hoe je misbruik maakt van dat dan? Dat begrijp ik niet helemaal als ik invul:
44' OR 'a' = 'a'
dan gebeurd er niets.
Maar laat eens zien hoe je misbruik maakt van dat dan? Dat begrijp ik niet helemaal als ik invul:
44' OR 'a' = 'a'
dan gebeurd er niets.
-edit weg-
Neem aan dat je het nu wel gezien hebt, heeft geen meerwaarde om te laten staan.
[ Bericht 76% gewijzigd door TwenteFC op 21-04-2012 14:23:55 ]
Neem aan dat je het nu wel gezien hebt, heeft geen meerwaarde om te laten staan.
[ Bericht 76% gewijzigd door TwenteFC op 21-04-2012 14:23:55 ]
http://php.net/manual/en/pdo.prepared-statements.phpquote:
PDO?
Maar laat eens zien hoe je misbruik maakt van dat dan? Dat begrijp ik niet helemaal als ik invul:
44' OR 'a' = 'a'
dan gebeurd er niets.
I'm not good with advice.. Can i interest you in a sarcastic comment?
Ik vind intval($_GET['id']) ook goed, dan weet je zeker dat je een getal hebt en niet een string als '9 or 1=1'.quote:Op zaterdag 21 april 2012 14:14 schreef TwenteFC het volgende:
http://kledingmerken.jdx.nl/single.php?id=44
Je doet ergens $_GET['id'] richting de database, begin dat eerst maar eens te veranderen naar mysql_real_escape_string($_GET['id'])
True. Maar als je een hele applicatie moet omschrijven, is dat best veel werk.quote:Beste is om PDO te gebruiken.
http://kledingmerken.jdx.nl/single.php?id=9%20or%201%3D1quote:
PDO?
Maar laat eens zien hoe je misbruik maakt van dat dan? Dat begrijp ik niet helemaal als ik invul:
44' OR 'a' = 'a'
dan gebeurd er niets.
Als je websites hebt voor bedrijven kan je dit soort dingen niet maken. Dan maar omschrijven. Maar dit is gewoon linkquote:
[..]
Ik vind intval($_GET['id']) ook goed, dan weet je zeker dat je een getal hebt en niet een string als '9 or 1=1'.
[..]
True. Maar als je een hele applicatie moet omschrijven, is dat best veel werk.
I'm not good with advice.. Can i interest you in a sarcastic comment?
Verrekquote:
[..]
http://kledingmerken.jdx.nl/single.php?id=9%20or%201%3D1
Mooi dat ik dit nu ontdek en niet dat mn baas opeens met een boze klant komt
Ik zou liever voor de snellere oplossing kiezen, denk ik. Dat omschrijven kan altijd nog, eerst moet de boel veilig worden.quote:Op zaterdag 21 april 2012 14:19 schreef Civilian het volgende:
[..]
Als je websites hebt voor bedrijven kan je dit soort dingen niet maken. Dan maar omschrijven. Maar dit is gewoon link
Het probleem is alleen dat er misschien al een uittreksel van je hele database op internet rondzwerft. Je wachtwoorden zijn wel salted encrypted enzo? Die zou ik ook maar even wijzigen als ik jou was.quote:
[..]
Verrek
Mooi dat ik dit nu ontdek en niet dat mn baas opeens met een boze klant komt
Inderdaad, persoonlijk had ik hem op zwart gegooid.. alles nagelopen, en dan weer online gegooid.quote:
[..]
Ik zou liever voor de snellere oplossing kiezen, denk ik. Dat omschrijven kan altijd nog, eerst moet de boel veilig worden.
Om vervolgens alles om te bouwen.
PDO is sowieso iets dat de moeite waard is om jezelf aan te leren.
Wachtwoorden staan er verder niet in volgens mij.quote:Op zaterdag 21 april 2012 14:22 schreef Tijn het volgende:
[..]
Het probleem is alleen dat er misschien al een uittreksel van je hele database op internet rondzwerft. Je wachtwoorden zijn wel salted encrypted enzo? Die zou ik ook maar even wijzigen als ik jou was.
Wees blij dat er nog geen grapjas is geweest die een DELETE statement heeft uitgevoerdquote:
[..]
Verrek
Mooi dat ik dit nu ontdek en niet dat mn baas opeens met een boze klant komt
Geen enkel wachtwoord in geen enkele tabel van je CMS?quote:
[..]
Wachtwoorden staan er verder niet in volgens mij.
Dat zou ook kunnen? Oh god...quote:
[..]
Wees blij dat er nog geen grapjas is geweest die een DELETE statement heeft uitgevoerd
Als je input niet filtert en direct in een query gooit, kan iedereen elke query uitvoeren die 'ie maar wil.quote:
Zie ook het stripje over Bobby Tables dat ik in het vorige topic had gepost. Dat kan letterlijk gebeuren met dit soort code.
Dat lijkt alweer een stuk beterquote:
http://kledingmerken.jdx.nl/single.php?id=9%20or%201%3D1
Yup, en dingen inserten. Allemaal mogelijk. Maak daarom ook maar een backup van je database.quote:
Niet altijd serieus
Slim is om nog een extra controle toe te voegen. Zodat ID ook daadwerkelijk een integer is (liefste unsigned uiteraad, maar integer eerst is al voldoende).quote:
http://kledingmerken.jdx.nl/single.php?id=9%20or%201%3D1
Daarom ook geen CMS bouwen als je stiekem eigenlijk niet weet wat je doet Er zijn er genoeg die al een heel stuk veiliger van zichzelf zijn.. Maargoed, dat is mijn mening.
Er zijn er genoeg die al een heel stuk veiliger van zichzelf zijn.. Maargoed, dat is mijn mening.
I'm not good with advice.. Can i interest you in a sarcastic comment?
Gelukkig zijn de meeste dingen die ik gemaakt heb interne tools op ons interne netwerk, maar heb dus ook een paar dingen gemaakt voor externe bedrijven, gelukkig gaat het veelal om int-en / int's ?
Dus kan veel al beveiligen door die intval() toe te passen.
Dus kan veel al beveiligen door die intval() toe te passen.
Zo te zien wordt nu intval() gebruikt. Dan krijg je 0 als je met tekst begint, niets spannends verder.quote:
[..]
Slim is om nog een extra controle toe te voegen. Zodat ID ook daadwerkelijk een integer is (liefste unsigned uiteraad, maar integer eerst is al voldoende).
Als je dit aan klanten gelevert hebt, zou ik ze maar heel snel op gaan bellen dat ze als een malle hun websites uit de lucht halen, voordat je volgende week op tweakers staat.quote:
Gelukkig zijn de meeste dingen die ik gemaakt heb interne tools op ons interne netwerk, maar heb dus ook een paar dingen gemaakt voor externe bedrijven, gelukkig gaat het veelal om int-en / int's ?
Dus kan veel al beveiligen door die intval() toe te passen.
Ergste is denk ik mijn rooster software, een groot restaurant plant al zijn medewerkers in doormiddel van dit rooster, maar op die database draait bijvoorbeeld ook het kassa systeem, die draait op een site waar je gelukkig wel eerst moet inloggen om op te komen, maar goed, blijft link.
Realiseer je wel dat het pas veilig is wanneer letterlijk elke user input gecheckt is. Al is er maar 1 plek waar je het vergeet, dan kan iemand via die plek alsnog je hele database manipuleren.quote:
Dus kan veel al beveiligen door die intval() toe te passen.
Wat is er toch ook een tuig op de wereld, ik zie altijd het goede, nooit de mogelijkheid om misbruik te maken.quote:
[..]
Realiseer je wel dat het pas veilig is wanneer letterlijk elke user input gecheckt is. Al is er maar 1 plek waar je het vergeet, dan kan iemand via die plek alsnog je hele database manipuleren.
Dat maakt dus niet uit. Als het op dezelfde database draait, kan iedere malloot daar nu gewoon bij.quote:
Ergste is denk ik mijn rooster software, een groot restaurant plant al zijn medewerkers in doormiddel van dit rooster, maar op die database draait bijvoorbeeld ook het kassa systeem, die draait op een site waar je gelukkig wel eerst moet inloggen om op te komen, maar goed, blijft link.
quote:
[..]
Wat is er toch ook een tuig op de wereld, ik zie altijd het goede, nooit de mogelijkheid om misbruik te maken.
Dan ben je wel heel naief.
Het ligt niet aan het tuig, je moet gewoon robuuste software maken. Hackers helpen je juist om betere code te schrijven.quote:
[..]
Wat is er toch ook een tuig op de wereld, ik zie altijd het goede, nooit de mogelijkheid om misbruik te maken.
Misschien is het ook handig om wat vakliteratuur te gaan lezen, want het is echt schokkend dat je hier nu pas achter komt. SQL-injecties zijn al heel erg lang bekend.
Gewoon niet aan gedacht dat mensen er eventueel misbruik van kunnen maken.quote:
Alles geleerd als hobby. Weet alleen wat ik nodig had om m'n sites werkend te krijgen en toen aangenomen toen ze mijn software zagen (niet de code).quote:Op zaterdag 21 april 2012 14:33 schreef Tijn het volgende:
[..]
Het ligt niet aan het tuig, je moet gewoon robuuste software maken. Hackers helpen je juist om betere code te schrijven.
Misschien is het ook handig om wat vakliteratuur te gaan lezen, want het is echt schokkend dat je hier nu pas achter komt. SQL-injecties zijn al heel erg lang bekend.
Creatief gebruik van het woord "gewoon".quote:
[..]
Gewoon niet aan gedacht dat mensen er eventueel misbruik van kunnen maken.
Ja ik werk er nog niet zo lang en toen ik er kwam kende ik alleen hobby matig PHP.
Ik pas dingen aan van allerlei vorige medewerkers, alles is geschreven in verschillende talen. Ene keer VBscript, dan weer C#, dan weer ASP.NET, laatst dus iets in PHP, etc...
Het is steeds, kan je snel ff dit aanpassen? Dit tooltje werkt niet meer, kun je daar naar kijken? Etc.
Zal van af nu ook rekening houden met de mogelijkheid tot hacken.
Ik pas dingen aan van allerlei vorige medewerkers, alles is geschreven in verschillende talen. Ene keer VBscript, dan weer C#, dan weer ASP.NET, laatst dus iets in PHP, etc...
Het is steeds, kan je snel ff dit aanpassen? Dit tooltje werkt niet meer, kun je daar naar kijken? Etc.
Zal van af nu ook rekening houden met de mogelijkheid tot hacken.
Overigens ook niet erg professioneel van dat bedrijf waar je werkt dat je code blijkbaar nooit is gereviewed.
Wel pijnlijk om te lezen ja.. als ik dit als excuus had gebruikt dan had ik klappen gekregen van mijn collega's 
Nee ik ben aangenomen omdat alle programmeurs zijn gestopt of ontslagen. Ze hadden niemand meer die dit kon en konden niemand vindenquote:
Overigens ook niet erg professioneel van dat bedrijf waar je werkt dat je code blijkbaar nooit is gereviewed.
Probeer de boel op orde te krijgen nu, door dit topic ook een stuk veiliger dus.
Ik was grafisch vormgever/webdeveloper bij een reclamebureau, ben vanuit hobby overgestapt naar Software Developer.
Maarja, het is gebeurd. Wat je zegt; het is nu gewoon zaak om er van te leren, en het nooit meer fout te doen.
Idd, thanks!
Maar als ik zie hoe moeilijk ze iemand kunnen vinden die kan programmeren (of dat denkt te kunnen haha) dan hebben jullie waarschijnlijk ook allemaal een goede baan?
Maar als ik zie hoe moeilijk ze iemand kunnen vinden die kan programmeren (of dat denkt te kunnen
haha) dan hebben jullie waarschijnlijk ook allemaal een goede baan?
Dat sowieso!quote:
En vooral ook om eerdere code nog eens door te nemen en te corrigeren.
Ik durf me heul niet als programmeur te verkopen, juist omdat ik weet dat ik niet al ditsoort security dingetjes weet.quote:
Idd, thanks!
Maar als ik zie hoe moeilijk ze iemand kunnen vinden die kan programmeren (of dat denkt te kunnen
Dit dan weer wel maar SQL injection is ook wel les 0.00001 en daar de voorkennis van.
Mwoah, als je userinput goed controleert kan je weinig gebeuren. Dingen als je code optimalizeren etc. zijn ook wel handig om te weten.quote:
[..]
Ik durf me heul niet als programmeur te verkopen, juist omdat ik weet dat ik niet al ditsoort security dingetjes weet.
Dit dan weer wel maar SQL injection is ook wel les 0.00001 en daar de voorkennis van.
Misschien een aardig plan om een security top 5 te maken van dingen die je zeker niet verkeerd wil doen? Voor in de OP ofzo?
Bv ook het salten van passwords, sessies niet opslaan in /tmp, warnings en errors niet weergeven... Dat soort dingen?
Bv ook het salten van passwords, sessies niet opslaan in /tmp, warnings en errors niet weergeven... Dat soort dingen?
Programmeurs zijn er zat te vinden. Alleen Nederlanders willen voor een dubbeltje op de eerste rang zitten. En goede, custom code kost nou eenmaal geld. En een degelijke programmeur is ook niet goedkoop neequote:
Idd, thanks!
Maar als ik zie hoe moeilijk ze iemand kunnen vinden die kan programmeren (of dat denkt te kunnen
I'm not good with advice.. Can i interest you in a sarcastic comment?
Je werkt bij een toko waar ze software ontwikkelen en NIEMAND heeft je ooit verteld dat je userinput moet controleren?? En je was daar ZELF ook niet op gekomen?? Heb je nooit op een php forum gelezen hoe je bepaalde vraagstukken moet oplossen?
Ongetwijfeld dat daar "ALWAYS CHECK USERINPUT" heeft gestaan.
Ongetwijfeld dat daar "ALWAYS CHECK USERINPUT" heeft gestaan.
Het is inderdaad tijd om die op eens grondig aan te pakken met een korte FAQ!
punten?
- User input controleren?
- Andere veiligheids voorzieningen (salts, cookies, sessies, etc)
- Meest gebruikte frameworks, template engines etc
Meer? ik ben er iig voor!
punten?
- User input controleren?
- Andere veiligheids voorzieningen (salts, cookies, sessies, etc)
- Meest gebruikte frameworks, template engines etc
Meer? ik ben er iig voor!
Just say hi!
quote:Op zaterdag 21 april 2012 15:17 schreef Swetsenegger het volgende:
Je werkt bij een toko waar ze software ontwikkelen en NIEMAND heeft je ooit verteld dat je userinput moet controleren?? En je was daar ZELF ook niet op gekomen?? Heb je nooit op een php forum gelezen hoe je bepaalde vraagstukken moet oplossen?
Ongetwijfeld dat daar "ALWAYS CHECK USERINPUT" heeft gestaan.
Ik moet om de week wel ongeveer werken met code waar get (dan wel post) data direct in een query wordt gegooid, van verscheidene 'webdevelopment' bedrijven.
Veel daarvan hebben dan ook nog een eigen 'CMS' (durf het haast geen CMS te noemen eigenlijk) die zo lek is als een mandje. En ze hebben dan dus vaak de portfolio op hun website staan, weet je zo welke sites lek zijn.
SQL-injecties stonden centraal in Zembla gisteravond:
http://www.uitzendinggemist.nl/afleveringen/1249442
http://www.uitzendinggemist.nl/afleveringen/1249442
quote:
SQL-injecties stonden centraal in Zembla gisteravond:
http://www.uitzendinggemist.nl/afleveringen/1249442
Timing!
Ik heb ook een eigen cmsje maar ik vang wel altijd user input af.quote:
[..]
Ik moet om de week wel ongeveer werken met code waar get (dan wel post) data direct in een query wordt gegooid, van verscheidene 'webdevelopment' bedrijven.
Veel daarvan hebben dan ook nog een eigen 'CMS' (durf het haast geen CMS te noemen eigenlijk) die zo lek is als een mandje. En ze hebben dan dus vaak de portfolio op hun website staan, weet je zo welke sites lek zijn.
Maar ik zal ook vast wel een lekje hebben hier en daar
Die aflevering van Zembla is wel hard... ongelooflijk!Ook de klant de schuld geven voor wachtwoorden als "123456" .. en dan als excuus "Ja wij kunnen niet zien wat voor een wachtwoord ze nemen".
Tuurlijk veranderen mensen hun wachtwoord naar iets makkelijks, dit moet je gewoon onmogelijk maken, en daarbij snap ik niet dat ze geen Tokens o.i.d. gebruiken. Dat zijn de kosten niet.
[ Bericht 52% gewijzigd door TwenteFC op 21-04-2012 16:21:39 ]
Je moet gewoon een functie implementeren waarmee je standaard user input verwerkt en controleert. Als je dat aanleert voorkom je dingen zoals MysqlInjection.
Of wat geadvanceerdere mysql leren door middel van procedures en views. Dan is je database ook al vrij goed beveiligd.
Of wat geadvanceerdere mysql leren door middel van procedures en views. Dan is je database ook al vrij goed beveiligd.
It was an opportunity to honour our memories and to make room for new ones
Best kans dat ze voor de zomer failliet zijn...quote:
En het achterhalen van de wachtwoorden duurde ook niet lang, dus of ze zijn als plaintext opgeslagen of er is een zwakke encryptie gebruikt.quote:Ook de klant de schuld geven voor wachtwoorden als "123456" .. en dan als excuus "Ja wij kunnen niet zien wat voor een wachtwoord ze nemen".
Een wachtwoord als 123456 is wel heel simpel, daar mag best een regeltje bij dat er ook een letter in moet zitten.quote:Tuurlijk veranderen mensen hun wachtwoord naar iets makkelijks, dit moet je gewoon onmogelijk maken, en daarbij snap ik niet dat ze geen Tokens o.i.d. gebruiken. Dat zijn de kosten niet.
Nee, je moet op de juiste momenten de juiste functies gebruiken. En dus kun je die pas zo laat mogelijk inzetten. Als je user input terug wilt sturen in een html pagina (zonder database), heb je niets aan sql escaping.quote:Op zaterdag 21 april 2012 16:09 schreef stefanhaan het volgende:
Je moet gewoon een functie implementeren waarmee je standaard user input verwerkt en controleert. Als je dat aanleert voorkom je dingen zoals MysqlInjection.
Dat doet weinig. Je moet procedures en views ook aanroepen en moet nog steeds een query samenstellen met of op basis van user input. Die moet je dan nog steeds escapen.quote:Of wat geadvanceerdere mysql leren door middel van procedures en views. Dan is je database ook al vrij goed beveiligd.
Als je views en procedures gebruikt voorkom je inniedergeval dat er serieuze dingen gedaan kunnen worden zoals accounts creëren , dingen droppen. Je voegt een extra laag van security level toe.quote:
[..]
Nee, je moet op de juiste momenten de juiste functies gebruiken. En dus kun je die pas zo laat mogelijk inzetten. Als je user input terug wilt sturen in een html pagina (zonder database), heb je niets aan sql escaping.
[..]
Dat doet weinig. Je moet procedures en views ook aanroepen en moet nog steeds een query samenstellen met of op basis van user input. Die moet je dan nog steeds escapen.
Mits je het juist configureerd.
It was an opportunity to honour our memories and to make room for new ones
Wachtwoorden als 123456 duren nooit lang om te achterhalen (als ze niet gesalt zijn). Daar kun je de hashes gewoon van googlen.quote:
[..]
En het achterhalen van de wachtwoorden duurde ook niet lang, dus of ze zijn als plaintext opgeslagen of er is een zwakke encryptie gebruikt.
Als er zulke gevoelige data achterligt dan mag het gewoon niet kunnen, een checkje maken die controleert of er op zijn minst een !@#$% teken,kleine letter,hoofdletter en cijfers inzitten is binnen 1 minuut gemaakt.quote:
[..]
Wachtwoorden als 123456 duren nooit lang om te achterhalen (als ze niet gesalt zijn). Daar kun je de hashes gewoon van googlen.
De reactie van VCD ookquote:
Dit persbericht bijvoorbeeld, echt om te janken. Ze ontkennen eigenlijk gewoon alles.
quote:
[..]
De reactie van VCD ook
De mensen die netjes laten weten dat je site lek is aanklagen, en de hackers die dmv van 100 proxy's binnen zijn gekomen daar kunnen ze niets tegen maken.
En ondertussen zijn ze wel op zoek naar personeel:quote:
[..]
De reactie van VCD ook
Productmanager verzuimapplicaties VCD Humannet
Waar is de vorige productmanager gebleven?
weet iemand nog iets leuks te devven?
It was an opportunity to honour our memories and to make room for new ones
Ja een Analytics overview van alle sites van je account met view/pageviews gisteren en vandaag en een percentage van hoever je vandaag bent vergeleken met vandaag.
Was al begonnen, maar moet zo weg
Google Analytics API is overal te krijgen.
Was al begonnen, maar moet zo weg
Google Analytics API is overal te krijgen.
Keer op keer verbaas ik me weer over dat mensen zonder kennis aangenomen worden op zulke functies. Geen wonder dat er constant lekken zijn. En maar weer bashen op de lekkers dan.
Dit klopt niet.quote:
[..]
Als hetzelfde MySQL-account ook schrijfrechten heeft, kan de database ook worden aangepast.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
Vind als bedrijf die niet zoveel doet met developen, maar wel iemand nodig heeft maar eens iemand die het kan. Ik werk niet bij een development bedrijf, maar ergens waar het als bijzaak gebruikt wordt.quote:Op zaterdag 21 april 2012 20:18 schreef Tegan het volgende:
Keer op keer verbaas ik me weer over dat mensen zonder kennis aangenomen worden op zulke functies. Geen wonder dat er constant lekken zijn. En maar weer bashen op de lekkers dan.
Voor mensen die hun opleiding als programmeur oid hebben afgemaakt is dit werk te min.
Dat is echt geen excuus hoorquote:
[..]
Vind als bedrijf die niet zoveel doet met developen, maar wel iemand nodig heeft maar eens iemand die het kan. Ik werk niet bij een development bedrijf, maar ergens waar het als bijzaak gebruikt wordt.
Voor mensen die hun opleiding als programmeur oid hebben afgemaakt is dit werk te min.
. Eigenlijk hoort bij ieder bedrijf wel een programmeur, dan wel voor de website of voor intern verkeer.
Dit vooral:quote:
De reactie van VCD ook
Nee, omdat jullie per se niet wilden luisteren.
Zembla stond bij ze in de receptie om ze te vertellen dat er vertrouwelijke informatie was blootgelegd, maar VCD haalde de politie erbij.:')
En wat nou als ze die niet kunnen vinden?quote:
[..]
Dat is echt geen excuus hoor
Dan besteed je het programmeerwerk uit. Daarmee voorkom je ook dat je afhankelijk wordt van 1 persoon.quote:
[..]
En wat nou als ze die niet kunnen vinden?
Niet zomaar iemand laten aanmodderen. Beter zoeken. Beter salaris bieden.quote:
[..]
En wat nou als ze die niet kunnen vinden?
Of wat Light zegt.
Dat wil zeggen als ieder bedrijf dat zou doen. Dat er ook wat bedrijven zijn waarbij de programmeur dan hele dagen niks te doen heeft. En hij voor niks betaald word.quote:
[..]
Dat is echt geen excuus hoor
It was an opportunity to honour our memories and to make room for new ones
Dit gebeurt sowieso al zelden in deze tijden.quote:
[..]
Niet zomaar iemand laten aanmodderen. Beter zoeken. Beter salaris bieden.
It was an opportunity to honour our memories and to make room for new ones
Nou goed. Niet alle bedrijven hebben er een nodig. Maar bedrijf van JDx bv. wel.quote:
[..]
Dat wil zeggen als ieder bedrijf dat zou doen. Dat er ook wat bedrijven zijn waarbij de programmeur dan hele dagen niks te doen heeft. En hij voor niks betaald word.
Dat was ook wel erg, idd. Maar misschien komen ze liever zo in het nieuws dan op een manier waarbij de pers had kunnen melden dat de boel inmiddels beter beveiligd is.quote:
[..]
Dit vooral:
[ afbeelding ]
Nee, omdat jullie per se niet wilden luisteren.
Zembla stond bij ze in de receptie om ze te vertellen dat er vertrouwelijke informatie was blootgelegd, maar VCD haalde de politie erbij.:')
Laatst had je Cue_ ookal in dezelfde situatiequote:
[..]
Nou goed. Niet alle bedrijven hebben er een nodig. Maar bedrijf van JDx bv. wel.
.
Sterker nog, ik heb mijn baan via Fok! omdat ze niemand konden vinden die daar wilde werken én iets wist van programeercode's etc
Nee dat laat zien hoe wanhopig ze waren om een nieuwe programmeur te vinden.quote:
Want als het via Fok gebeurt kan het geen bedrijf zijn die fout bezig is?
Als je inbreekt heb je voorkennis Logischquote:Opvallend genoeg komt naar voren uit het onderzoek van deze experts, dat de ongeoorloofde toegang naar alle waarschijnlijkheid heeft plaatsgevonden middels voorkennis (lees: men heeft op onrechtmatige wijze een inlogwachtwoord in handen gekregen).
. Als je daarvoor nog geen notatie of een manier hebt bedacht om het te loggen, dan is het ook logisch hoe ze eraan komen. Dat VCD nog geen manier had om het te loggen, de inbraken.
Lijkt me ook niet meer dan logisch hoe ze met simpele SQL injections ze de wachtwoorden ontfutselden.
Redacted
Dat is toch geen excuus om het zo op te lossen?quote:
[..]
Nee dat laat zien hoe wanhopig ze waren om een nieuwe programmeur te vinden.
Maar je léést toch wel eens op een forum als je ergens niet uit komt? php freakz, hier, tweakers...? OVERAl, werkelijk OVERAL als iemand een stukje code post waarin userinput voorkomt is er altijd wel iemand die roept "check je userinput!"quote:
Sterker nog, ik heb mijn baan via Fok! omdat ze niemand konden vinden die daar wilde werken én iets wist van programeercode's etc
Had je werkelijk nog nooit nagedacht bij sql injection en XSS en passwords beveilgen?
Ik heb zelf ook PHP geleerd als hobbie, maar ik weet ook hoe ik veilige code moet schrijven. Dat heeft dus NIKS te maken met het zelf leren van code. Er is de laatste jaren zoveel aandacht besteed aan SQL-injection dat je wel iets had moeten weten ervan.
Ik kan me ook niet voorstellen dat er niemand is die je code niet checkt... dat is gewoon vragen om problemen. Je zou makkelijk een backdoor kunnen inbouwen bijvoorbeeld, of bij een grote webshop ofzo gewoon geld sluizen naar jezelf.
Ook je login was dus niet veilig als er geen beveiliging was kan ik daar met gemak inkomen. Ik zou jezelf flink scholen of als je dat zou willen, ben ik wel bereid wat code van je te reviewen en commentaar te geven wat wel en niet kan daarin.
[ Bericht 0% gewijzigd door #ANONIEM op 21-04-2012 22:51:53 ]
Ik kan me ook niet voorstellen dat er niemand is die je code niet checkt... dat is gewoon vragen om problemen. Je zou makkelijk een backdoor kunnen inbouwen bijvoorbeeld, of bij een grote webshop ofzo gewoon geld sluizen naar jezelf.
Ook je login was dus niet veilig als er geen beveiliging was kan ik daar met gemak inkomen. Ik zou jezelf flink scholen of als je dat zou willen, ben ik wel bereid wat code van je te reviewen en commentaar te geven wat wel en niet kan daarin.
[ Bericht 0% gewijzigd door #ANONIEM op 21-04-2012 22:51:53 ]
Ik denk dat het bij de meeste PHP programmeurs (of zelfs overal zo is, dat het met een hobby begon), maar is het begin wil je resultaten en ik denk dat JDx nog in die fase zit.quote:
Ik heb zelf ook PHP geleerd als hobbie, maar ik weet ook hoe ik veilige code moet schrijven. Dat heeft dus NIKS te maken met het zelf leren van code. Er is de laatste jaren zoveel aandacht besteed aan SQL-injection dat je wel iets had moeten weten ervan.
Na een tijdje, vooral als je ook voor jezelf aan werk/spelen/hobbyen bent dan wil je toch beter gaan programmeren en ga je dingen uit proberen. SQL injecties, verbeterde inlog procedures, inlog controles + algoritmes om aanvallen te detecteren, etc en daar leer je echt van. Maar als een bedrijf daar geen ruimte of prioriteit aan geeft dan wordt het ook last, ook al ben je daar voor jezelf al wel mee bezig en zie je dat bedrijven de fout in gaan. Je kan dat dan wel aangeven, maar hier heeft de bedrijfskundige in de organisatie meer macht aangezien jou voorstel niet direct geld oplevert en wat hij aanlevert wel.
VCD is nu gewoon keihard de lul en dat werd bij Zembla ook wel duidelijk. VCD wil dit niet herkennen aangezien het meestal de ondergang van een organisatie betekent. Dat werd op het einde ook wel duidelijk dat er een boete kan komen van enkele miljoenen.
Ja klopt, gisterenquote:Op zaterdag 21 april 2012 22:45 schreef Swetsenegger het volgende:
[..]
Maar je léést toch wel eens op een forum als je ergens niet uit komt? php freakz, hier, tweakers...? OVERAl, werkelijk OVERAL als iemand een stukje code post waarin userinput voorkomt is er altijd wel iemand die roept "check je userinput!"
Had je werkelijk nog nooit nagedacht bij sql injection en XSS en passwords beveilgen?
Dan heb ik jouw droombaan, doen wat je wil en geen controlequote:
Ik heb zelf ook PHP geleerd als hobbie, maar ik weet ook hoe ik veilige code moet schrijven. Dat heeft dus NIKS te maken met het zelf leren van code. Er is de laatste jaren zoveel aandacht besteed aan SQL-injection dat je wel iets had moeten weten ervan.
Ik kan me ook niet voorstellen dat er niemand is die je code niet checkt... dat is gewoon vragen om problemen. Je zou makkelijk een backdoor kunnen inbouwen bijvoorbeeld, of bij een grote webshop ofzo gewoon geld sluizen naar jezelf.
Ook je login was dus niet veilig als er geen beveiliging was kan ik daar met gemak inkomen. Ik zou jezelf flink scholen of als je dat zou willen, ben ik wel bereid wat code van je te reviewen en commentaar te geven wat wel en niet kan daarin.
