China: Tausende Web-Seiten stehen unter Beschuss

Sicherheitslücken Tausende Web-Seiten im chinesischsprachigen Raum wurden in den letzten Tagen Opfer von Attacken. Per SQL-Injection infizierten die Angreifer die Angebote mit Malware-Scripten, die sich letztlich auf den Rechnern der Nutzer einnisten sollen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Selbst Schuld.... sich gegen SQL-Injections zu schützen ist nicht all zu schwer...
 
@r4v3r: kann asyncron nur zustimmen...wenn man keine Ahnung hat, einfach mal die Fresse halten...

wenn du meinst, dass die websitebetreiber sich schützen sollen...eien 100% sivheren code gibt es nicht...
Als user kann man sich zwar mit antivirussoftware schützen, aber der it nicht 100%ig
 
@xxmsixx: was für eine Ausdrucksweise, da merkt man gleich das du noch weniger Ahnung hast...
 
@XerraX: Dem kann ich wohl nur zustimmen. Im übrigen frage ich mich ja was Antivirensoftware mit SQL-Injektions zu tun haben, aber naja ... hauptsache mal was behauptet. @r4vr3 hat außerdem Recht wenn er behauptet, daß SQL-Injections nur durch schlampige Programmierung der Seitenbetreiber zustande kommt. Bei gewissenhaften Prüfungen der Benutzereingaben sind SQL-Injections so gut wie ausgeschlossen.
 
@tuon: Es hat keiner Deiner Vorposter behauptet, dass man mit Antivierensoftware etwas gegen SQL-Injektions machen kann. Und nun nur für Dich: Mit einer Antivierensoftware kann man sich evtl. gegen die auf den befallenden Seiten eingeschleusten Scripte wehren, damit diese bei Dir nicht zur Ausführung kommen, aber der Schutz ist nicht 100%ig. So besser? Lese und verstehe...
 
@fenstereintreter: Das mit dem "der User kann sich mit Antiviren... schützen" habe ich im falschen Zusammenhang gelesen. Dennoch ist die Aussage, daß es keinen 100%tig sicheren Code (z.B. php) gibt falsch. Dies zeugt einfach von Unkenntnis. Und nur für dich ein Beispiel: Filtere einfach alles aus was NICHT a-z0-9 ist und schon kann man nichts mehr "injezieren". Nur mal als gaaaaanz einfaches Beispiel.
 
@tuon: "...Filtere einfach alles aus was NICHT a-z0-9 ist und schon...". Das ist schon ein einfacher und guter Anfang. Interessanterweise nehmen anscheinend viele Entwickler die getätigten Eingaben (oder auch Parameter) einfach so ungeprüft als gegeben hin. Selbst einfach gehaltene Kontakt-Formulare lassen z.T. wunderbar als Spam-Schleuder missbrauchen, da keine Prüfung und/oder Filterung durchgeführt werden. Ein PHP-Code ist somit nur so sicher, jenachdem wie weit der Entwickler denkt. Und die von Dir genannte Filterung ist schon mit einer einzigen Programmzeile getan.
 
@r4v3r: so einfach ist das nicht mit dem sichern, gerade im chinesischen raum. du kannst a-z und 0-9 einfach sichern, das würde aber auch bedeuten, dass eine abfrage von unicode-schriftzeichen abgelehnt würde und bekanntlich sind chinesische zeichen unicode. so schwer ist es, 100%en schutz zu bekommen, wie kann man sicher sein, dass man jedes risiko kennt? oft sind es ganau leute, die meinen, sie kennen jedes risiko, die opfer von attacken werden, da sie nicht mehr offen für gefahren sind. you never know.
 
@magnus_stefanus: Das mit dem NICHT a-z0-9 war ja auch nur ein ganz einfaches Beispiel. Die Frage die man sich als Entwickler nunmal stellen muss ist: Welche Eingaben (Zeichen) sind zu erwarten? Alles andere weg damit. Zum Beispiel " oder '. Weg damit, wenn es nicht absolut notwendig ist. Die Länge der Eingabe pers subtsr begrenzen. Wörter wie "drop" "alter" "truncate" "create" "insert" "update" "select" etc. etc. herausfiltern je nach DB-Version. Wenn man dies vernünftig(!) macht sind keine SQL-Injections möglich. Was nicht geht, geht eben nicht. Wenn man natürlich nur vorgefertigte Scripte verwendet oder Benutzereingaben ungeprüft verarbeitet ist man, mit Verlaub gesagt, selbst Schuld.
 
@tuon: da hast du recht, ebenfalls mit den vorgefertigten skripen, die jeder unhinterfragt einsetzt. ich wollte nur mal darauf hinweisen, dass es immer dinge geben kann, die man nicht kennt, auch wenn man eingrenzt wie zb das handling von unicode-charakteren, siehe fall wordpress. (man konnte sql-code einschleusen durch bestimmte chinesische charakteren, die übersetzt apostrophe beinhalteten und nicht escaped wurden.)
 
"Wie die taiwanische Sicherheitsfirma Armorize Technologies mitteilte, löschen die Angreifer wahllos Seiten, wenn ihnen die Integration von Schadcode nicht gelingt.
" ... wie können die Angreifer Inhalte löschen, wenn ein Angriff gar nicht gelungen ist (und somit die Möglichkeit der Manipulation nicht erobert wurde)?
 
Indem Sie FTP-, aber keine DB-Zugang haben.
 
@knoxyz: der kandidat hat 100 punkte ^^ (+)
 
@asyncron: mein Kommantar ist ernst gemeint. FTP-, und DB-Account sind völlig unabhängig voneinander und liegen oft sogar auf getrennten Servern. Oder wie darf ich deinen Kommentar werten?
 
@knoxyz er meint, dass du richtig liegst :)
 
@knoxyz: ich war überrascht dass es hier wirklich leute gibt die ahnung haben. ich muss leider sagen (ohne jemand angreifen zu wollen), dass viele hier zwar "pc-poweruser" sind und sich für das thema it interessieren, die wenigsten aber in der materie arbeiten -> webserver, (und ich meine nicht mal kurz nen xampp aufgesetzt), große netzwerke, db (kein access sondern informix, mssql oder oracle), domänen bzw exchange erfahrungen haben. daher meine große anerkennung für deinen klaren und inhaltlich sehr richtigen beitrag. gruß async
 
manche leute haben echt keine beschäftigung, und zerstören arbeit von anderen menschen wahrlos -.- Man sollte solche menschen auspeitschen...
 
@sini: Gleich 90%? Beweise? Mal davon davon abgesehen, dass dein Beitrag schöner Spam ist.
 
@sini: jup. die damalige jugend war ja noch ganz anders.
 
@sini: jup. die damalige jugend war ja noch ganz anders.

Die haben nun aber auch viele andere Einflüsse als ihr damals.
 
alles quatsch. die damalige jugend war überhaupt nicht anders. nur die mittel haben sich ein wenig verändert. es ist schlichtweg nur blödsinn zu behaupten die damalige jugend wäre besser, ehrlicher, redlicher, anständiger etc. gewesen - im kontext zur (damals) herrschenden allgemeinen gesellschaftlichen ordung waren "die damaligen jugendliche" genauso verkommen, unanständig und/oder kriminell etc. wie die heutige jugend. sogar noch ausgestattet mit dem großen bonus das vieles was heutzutage (teilweise schwerst-) kriminalisiert ist, damals bestenfalls als kavaliersdelikt angesehen wurde - und sehr viele taten als jugendlicher überschwang und als jugendliches rebellieren gegen die geltende grundordnung (der erwachsenen welt) abgetan wurde. - - - - die welche es anders darstellen lügen sich ihre "vergange" welt schöner/nobler als sie war. - - - - woher ich das weiß??? naja, ich war damals jugendlicher - und kann mich noch sehr gut daran erinnern. beispiel: was haben wir uns damals "manchmal" für "herrliche" volksfest,wirtshaus, disko, konzert etc.-massen-schlägerein geliefert. da hat es mal mächtig gerumst - und gut wars. heute würden deswegen gleich mehrere 100detschafften anrollen und hunderte gerichtsverfahren angestrengt werden. - - - - und eine generation vor mir waren messerstechereien (die allerwenigsten natürlich mit schweren oder gar tödlichen verletzungen) unter den besoffenen burschen - meist wegen irgendwelcher mädels - ganz normal und an der bierseeligen folksfest-, wirtshaus-front (hatte ja schließlich fast jeder sein brotzeitmesser einstecken - was auch ganz normal war (und heute möchten sie am liebsten schon das tragen eines schweizer-taschenmessers verbieten (naja- eine großes darf man eh nimmer einstecken haben...nach neustem gesetz) - da gabs dann einen verweiß von der polizei für (heute geht man dafür in den knast) - wie gesagt: alles quatsch und abgeledert mit dem ewig ollen gequatsche von wegen: "die "verkommene" jugend von heute... balh-blah"!- - - - den scheiß habe ich mir damals auch schon anhören müssen - als jugendlicher - bis mir fast die ohren bluteten.
 
@bilbao: wow wow wow wer hat dich den angefahren. Oder wolltest dich nur kurz warm fahren, bevor du in die Arbeit gehst :-)
 
@LastSamuraj: na wenn du alles lesen würdest dann wüsstest du jetzt das dies eine erwiderung auf @sini's [ [ [ [ dann kannst du bei 90% unserer heutigen Jugend anfangen] ] ] ] ist.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.