De 10 meest voorkomende lekken in websites (en wat je eraan kunt doen)

© iStock

Bedrijven nemen nog steeds websites in gebruik met basale fouten in de opzet. Het web blijft zo een walhalla voor hackers. De 10 meest voorkomende zwakheden, en wat je eraan kunt doen.

De lijst van veel voorkomende zwakke plekken in websites, gepubliceerd door Brits sectovertegenwoordiger techUK, is niet willekeurig gekozen, maar is tot stand gekomen op basis van een analyse die PA Consulting heeft gemaakt van de penetratietests op webapplicaties en -infrastructuur die het de afgelopen 12 maanden bij klanten heeft uitgevoerd.

De top 10 ziet er als volgt uit:

  1. Slecht wachtwoordbeleid Heel vaak worden geen sterke wachtwoorden afgedwongen. Ook staat men nogal eens gelijktijdige logins toe, of het gebruik van standaard wachtwoorden.
  2. Problemen met SSL De implementatie van SSL is regelmatig onveilig, dankzij zwakke sleutels of zelf-ondertekende of vervallen certificaten.
  3. Niet goed beveiligd tegen XSS ‘Cross site scripting’ is een bij hackers populair inbraakmechanisme, waar veel websites onvoldoende maatregelen tegen hebben genomen.
  4. Testgegevens niet verwijderd Testen is enorm belangrijk, maar testgegevens moeten niet beschikbaar blijven op de website. Ze vormen een ideale wegwijzer voor hackers.
  5. Geen bescherming tegen ‘brute force’ De detectie van aanvallen via geautomatiseerde systemen die wachtwoorden en sleutels proberen te achterhalen, laat vaak te wensen over.
  6. Directory-structuur is te achterhalen Het biedt een hacker kansen als hij kennis heeft van de opzet van een website.
  7. Geen maatregelen tegen ‘clickjacking’ Het gebeurt nogal eens dat er maatregelen achterwege blijven tegen het kapen van kliks door een kwaadaardige link via een transparante weblaag bovenop een legitieme link te plaatsen, om zo de bezoeker naar onbedoelde oorden te leiden.
  8. Cookies worden niet als ‘alleen HTTP’ of ‘veilig’ gemarkeerd Ontwikkelaars laten soms na cookies te beveiligen tegen onderschepping. Dat biedt mogelijkheden aan kwaadwilligen om een sessie te kapen via een ‘man in the middle’-aanval.
  9. Problemen met de configuratie van de host Penetratietests tonen een reeks van problemen op dit gebied. Vooral slecht ingestelde firewalls en het laten uitlekken van het IP-adres van de gebruiker komen vaak voor.
  10. Loslippigheid, met name bij bezoekersinformatie Reacties van applicaties of het ‘wachtwoord-vergeten’-mechanisme geven vaak onbedoeld hints over de vorm van gebruikersnamen of wachtwoorden.

Voor zover hackers de zwakheden al niet kenden, biedt de inventarisatie van techUK ze natuurlijk een goede wegenkaart voor aanvallen op websites. Reden te meer om de eigen websites op deze punten de maat te nemen. Gelukkig laat techUK het niet bij een signalering van de problemen. Zijn publicatie Securing web applications and infrastructure bevat ook adviezen en verwijzingen naar vindplaatsen van informatie over oplossingen voor deze problemen.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content