Nieuwe technologieën als ajax (asynchronous javascript and xml) en de query-taal Xquery zijn makkelijk te misbruiken, aldus beveiligingsexpert Alex Stamos op de CanSecWest/core06-conferentie in Vancouver. De interactie tussen verschillende systemen kan onveilig zijn, stelt Samos, omdat er situaties kunnen ontstaan die de software-ontwikkelaars niet hadden voorzien. Een voorbeeld van zo'n situatie is dat iemand een webformulier hackt en vervolgens een helpdeskmedewerker overhaalt om codes met een — op zichzelf — onschuldige handeling te activeren. Stamos liet daarnaast zien hoe met extra lange xml-queries en bombardementen op database-applicaties dos-aanvallen kunnen worden uitgevoerd. De 'complexiteit verhullende' en doorgaans gebruiksvriendelijke web services-tools doen vergeten dat er ook veiligheidsproblemen spelen, suggereert Stamos. "De mensen die web services gebruiken, hoeven niet per se te begrijpen hoe het allemaal werkt." Hackers lijken dankbaar gebruik te maken van deze onwetendheid. Volgens beveilingsbedrijf Symantec richten hackers hun aanvallen steeds vaker op webapplicaties. In de laatste helft van 2005 was 70 procent van alle gevonden kwetsbaarheden onderdeel van (of gerelateerd aan) een webapplicatie. Stamos hoopt dat de leveranciers filters inbouwen om de veiligheid te verbeteren. Ook beveiligingsbedrijven zouden harder hun best moeten doen. "De beveiliging van webapplicaties is nu nog het roodharige stiefkind van de beveiligingsindustrie", aldus Stamos. Bron: Techworld