Top 10 website-hacks

NetworkWorld publiceerde onlangs een artikel waarin duidelijk wordt op welke manieren websites gehackt worden en wat er zoal kan gebeuren. Wellicht is het interessant om dat lijstje even door te nemen.

1:Cross-site scripting (XSS). Dit probleem komt voor wanneer webapplicaties data naar browsers sturen die niet gecheckt/gevalideerd is. Veel gebruikers accepteren dan de waarschuwing die ze krijgen terwijl ze misschien websites bekijken die niet van de échte maker afkomstig zijn. Gevolg: kwaadwillenden kunnen toegang krijgen tot de pc van gebruikers en in het slechtste geval tot de bankrekening.

Voorbeeld: Klanten ABN-Amro doelwit phishers

2.Injection Flaws. Met deze truc kunnen hackers door via een webapplicatie commando’s te sturen naar zogenaamde ‘interpreters’ volledige controle over een tekst-gestuurde database krijgen, zoals SQL-databases bijvoorbeeld.

Voorbeeld: Russische hackers stelen creditcard-gegevens

3.Het opstarten van ‘kwade’ bestanden. Hackers kunnen wanneer er de mogelijkheid is om bestanden in te sturen op websites, scripts en programma’s opsturen die de hacker toegang kunnen geven tot de systemen. Dit probleem is makkelijk te voorkomen door bepaalde bestandstypes te weigeren.

Voorbeeld: Nederlandse hacker verraadt zichzelf door uploaden ID-kaart

4.Onveilige links naar objecten. Hackers kunnen referenties naar bestanden en objecten veranderen, waardoor ze toegang krijgen tot diepere en beveiligde bestanden.

Voorbeeld: Hacker achterhaalt gegevens van 17.000 bedrijven

5.Cross site forgery (=vervalsing). Via deze methode krijgen de hackers toegang tot de webbrowser van gebruikers, doordat ze gebruik maken van valse verwijzingen die ze plaatsen op echte sites of valse sites. Via de cookies van een browser kunnen klantgegevens achterhaald worden.

Voorbeeld: Valse Postbank-inlogschermen

6.Het lekken van verkeerde informatie of te gedetailleerde foutmeldingen. Soms krijgen bezoekers van een site net even teveel informatie bij een bepaalde foutcode wanneer er een pagina niet wordt gevonden of wanneer een bepaalde webapplicatie kuren vertoond. Hackers kunnen met deze code snel(ler) aan de slag om op een site in te breken. Webmasters kunnen dit probleem eenvoudig voorkomen door simpelweg foutrapporten te blokkeren.

Voorbeeld: Het grootschalige lekken van gegevens bij ChoicePoint in 2005

7.Gebrekkige authenticatie en sessie-management. Wanneer een site zijn loginprocedure van begin tot eind niet goed onder controle heeft, is het voor een kwaadwillende vaak een koud kunstje om een hack te plaatsen.

Voorbeeld: Wachtwoorden van Hotmail eenvoudig te kraken

8.Onversleutelde dataopslag. Veel webmasters vergeten belangrijke data te versleutelen. Daarnaast komt het vaak voor dat de versleutelde data op een manier beveiligd is die makkelijk te kraken is, waardoor het voor hackers kinderspel wordt om gevoelige informatie bloot te leggen.

Voorbeeld: Hackers gaan er met miljoenen creditcardnummers vandoor

9.Onveilige communicatiestromen. Wat bij punt 8 voor bestanden geldt, geldt ook voor B2B- en B2C-communicatie. Soms worden dergelijke berichten door hackers onderschept, bijvoorbeeld doordat onbeveiligde Wifi-netwerken evenvoudig met een sterke antenne ‘afgeluisterd’ kunnen worden. Gebruik bijvoorbeeld ook liever SSL voor mail.

Voorbeeld: Zwakke Wifi-beveiliging bij (wederom) TJX

10.Vrije URL-toegang. Sommige sites gebruiken URL’s waarin een id-nummer vermeldt staat, zoals bijvoorbeeld http://www.mijnsite.nl/gegevens/id=1344 . Nu is dat op zich niet erg, maar wat sommige webmasters vergeten is de overige id-nummers die informatie bevatten die je minder snel publiekelijk wilt maken te beveiligen.

Voorbeeld: Gratis VIP-toegangskaarten voor MacWorld

Zo zie je maar, er liggen nog steeds vele gevaren op de loer voor webmasters. Blijf goed nadenken over de beveiliging!

Gerelateerde berichten op Zoomz:

• VIDDIX introduceert tweede innovatieve video player
• Berlusconi legt YouTube aan banden
• Google test interactieve advertenties