Na Kaspersky ook F-Secure last van SQL-injectie
Na Kaspersky en BitDefender is ook de Finse virusbestrijder F-Secure getroffen door een SQL-injectie.
Ditmaal was de beveiliging echter iets beter op orde, waardoor de aanvallers alleen publieke data in handen kregen. "De aanval is iets waar we van moeten leren en wijst ons zaken die we moeten verbeteren. Het is niet het einde van de wereld", zo vertelt F-Secure op zijn blog.
Gunter Ollmann, medewerker van IBM's Internet Security System, laat weten dat SQL-injecties tegen zijn te gaan, maar vaak het gevolg zijn van het ontwerp van webapplicaties. Volgens hem zijn er twee redenen waarom SQL-injecties zijn toegenomen.
De eerste reden is dat hoewel cross-site scripting (XSS) eenvoudiger is geworden, het uitvoeren van een SQL-injectie aanvallers meer oplevert. De andere reden is dat er de afgelopen twee jaar veel tools zijn verschenen die gespecialiseerd zijn in het uitvoeren van SQL-injectieaanvallen.
Ook vond Ollman de reacties van de antivirusbedrijven belachelijk. Die bedrijven claimen namelijk dat ondanks de aanval er geen gevaar voor het systeem zou zijn en er geen informatie zou zijn gelekt. "Wat een onzin", weet Ollman. Hij denkt dat ze met deze claim alleen klanten proberen terug te winnen, terwijl ze volgens hem beter de waarheid zouden kunnen vertellen.
Ditmaal was de beveiliging echter iets beter op orde, waardoor de aanvallers alleen publieke data in handen kregen. "De aanval is iets waar we van moeten leren en wijst ons zaken die we moeten verbeteren. Het is niet het einde van de wereld", zo vertelt F-Secure op zijn blog.
Gunter Ollmann, medewerker van IBM's Internet Security System, laat weten dat SQL-injecties tegen zijn te gaan, maar vaak het gevolg zijn van het ontwerp van webapplicaties. Volgens hem zijn er twee redenen waarom SQL-injecties zijn toegenomen.De eerste reden is dat hoewel cross-site scripting (XSS) eenvoudiger is geworden, het uitvoeren van een SQL-injectie aanvallers meer oplevert. De andere reden is dat er de afgelopen twee jaar veel tools zijn verschenen die gespecialiseerd zijn in het uitvoeren van SQL-injectieaanvallen.
Ook vond Ollman de reacties van de antivirusbedrijven belachelijk. Die bedrijven claimen namelijk dat ondanks de aanval er geen gevaar voor het systeem zou zijn en er geen informatie zou zijn gelekt. "Wat een onzin", weet Ollman. Hij denkt dat ze met deze claim alleen klanten proberen terug te winnen, terwijl ze volgens hem beter de waarheid zouden kunnen vertellen.
8