Nieuws Security

7 november 2013 leestijd 2 minuten 0 reacties

Webcrawlers Google voeren SQL-injecties uit

SQL-injecties zijn een al wat oudere manier om slecht beveiligde websites 'gek te maken'. Ze maken misbruik van de omstandigheid dat veel webapplicaties open staan voor het accepteren van opdrachtparameters die zijn opgenomen in het tweede deel van de URL waarmee ze worden aangeroepen. Als die parameters de vorm van SQL-opdrachten hebben, dan zal zo'n slecht beveiligde webapplicatie deze opdrachten afvuren op zijn achterliggende databases.

Redactie AG ConnectMeer van deze auteur

Hackers kunnen zo data compromitteren en vaak zelfs de applicatie in een loop brengen of anderszins ontwrichten.

Kwaadaardige code wordt gepapegaaid

Het afvuren van dergelijke SQL-injecties is zeker niet de bedoeling van Google's webcrawlers. Die zijn er slechts op uit om alle pagina's op het world wide web te leren kennen (te 'indexeren') door elke pagina af te speuren, op zoek naar links die leiden naar pagina's die ze te tot dusverre nog niet kenden. Ze doen dat door dergelijke links domweg te kopiëren en vervolgens uit te voeren. Ook als die links SQL-code in hun parameterdeel bevatten.

Hackers blijken daar nu misbruik van te maken door op webpagina's die zij beheren, links te plaatsen met kwaadaardige SQL-code. De web-crawler pikt ze op en 'papegaait' ze naar de site waarnaar ze verwijzen.

Niet bruikbaar voor datadiefstal

Het grote voordeel van deze aanpak, vanuit het perspectief van de hacker, is dat de te belagen site zich kwalijk kan beveiligen door zich af te schermen voor het IP-adres waarvandaan de SQL-injectie afkomstig is. Dat is immers dat van de Google-crawler en dat is voor de meeste websites wel zo'n beetje laatste partij die ze ooit zouden willen tegenhouden.

Tegenover dat voordeel voor de hackers staat echter ook een groot nadeel; ze missen de response van de belaagde site. Dat maakt 'crawler-injectie' minder geschikt om naar informatie te hengelen. Maar de strategie blijft wel uitermate bruikbaar om een site te zieken. De enige manier voor sitebeheerders om zich te wapenen is het filteren van de parameters die met de URL worden meegegeven. Een procedure die men tegenwoordig sowieso van een behoorlijke webapplicatie mag verwachten.

Page rankings verstoren

Het tot dusverre buiten hacker-kringen nog niet of nauwelijks bekende misbruik van de webcrawlers werd ontdekt door applicatiebouwer Daniel Cid, toen hij probeerde uit te zoeken waarom een door hem ontwikkelde website de IP-adressen van Google op een automatische blacklist plaatste.

Zo bezien zou het in de page-rankings benadelen van bepaalde hen onwelgevallige sites mogelijk een van de doelen van de hackers kunnen zijn.

'80% van het werk dat we vandaag doen, kan in de komende duizend dagen geautomatiseerd worden'

AI krijgt meer impact op business. In de collegereeks van Nyenrode & AG Connect ontdek je kansen en risico’s, o.a. rond Agentic AI.

2 min

Achtergrond soevereiniteit Partner

Soevereine Cloud: Controle in een geopolitiek tijdperk

Begrijp hoe Soevereine Cloud jouw organisatie beschermt tegen geopolitieke risico’s. Lees ons artikel en neem controle over je data.

1 min

Blog migratie, windows 11 Partner

Waarom migreren zonder datasturing vragen om problemen is

Zonder datasturing wordt migreren al snel chaos. Ontdek hoe je risico's voorkomt en vertrouwen opbouwt met data.

3 min

Meer whitepapers

Whitepaper Security Partner

De weg ontdekken naar geïntegreerde IT- en fysieke beveiliging afdelingen

De samenvoegingen van IT en fysieke beveiliging begon jaren geleden, maar hoe staat het er nu voor met deze ontwikkeling?

Whitepaper Artificial Intelligence Partner

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Marketing Partner

High impact business stories creëren

De route naar de zakelijke beslisser.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee