3 meest voorkomende beveiligingsfouten op een website
Niet iedereen op het internet heeft even goede bedoelingen, zowat elke vijf seconden wordt er een website gehackt. Ik heb als security consultant gewerkt voor enkele van de grootste IT-bedrijven in België. In deze blogpost lees je de 3 meest voorkomende kwetsbaarheden die ik toen tegenkwam.
XSS
Het gevaar van XSS of cross-site scripting wordt zeer vaak erg onderschat. Ooit had ik deze fout gevonden op de webshop van een groot belgisch IT-bedrijf. In mijn Proof of Concept toonde ik hun aan hoe ik de computer van elke webshop-bezoeker kon overnemen door deze fout te exploiteren.
Deze kwetsbaarheid komt tot stand wanneer de invoer van een website slecht gevalideerd wordt, en hackers daardoor hun eigen kwaadaardige code (meestal Javascript) kunnen uitvoeren op die website.
SQL Injection
Grote kans dat je op je website gebruik maakt van een databank, hierin kan je onder andere content opslaan (denk aan blogs of foto’s) of jouw mailinglijst.
Naar die databank worden opdrachten of queries gestuurd om data op te vragen, dit loopt fout wanneer hackers in staat zijn die queries te manipuleren.
Op die manier kunnen ze dan alle gevoelige data van jouw databank zien of aanpassen.
Session hijacking
Wanneer je inlogt op Facebook wordt er een stukje tekst in je browser opgeslagen in de vorm van een cookie. Deze cookie noemt de session cookie en zorgt er onder andere voor dat je ingelogd blijft op Facebook, zonder telkens opnieuw je paswoord te moeten ingeven.
Hackers kunnen dit stukje tekst kopiëren uit jouw browser en plakken in hun eigen browser zodat Facebook denkt dat de hacker jou is! Op die manier kan de hacker inloggen op jouw account en al je berichten, contacten en foto’s bekijken of posts plaatsen in jouw naam.
Dit is session hijacking en kan op elke website gebeuren die zijn beveiliging niet op punt heeft staan.
Het is goed mogelijk dat jouw website ook een van deze kwetsbaarheden heeft. Dit kan rampzalig aflopen voor jou indien iemand met slechte bedoelingen deze vindt. Buiten reputatieschade voor je zaak is ook groot verlies van geld een probleem, waar gehackte bedrijven mee kampen. Verzeker je huidige of toekomstige website hiertegen door even contact met mij op te nemen.
