Website security
Security of your website
Bij het ontwikkelen van een website wordt vaak veel energie en aandacht besteed aan het uiterlijk van een website maar wordt de website beveiliging vergeten. Zo kan het gebeuren dat de website gehackt wordt en en overgenomen of aangetast door hackers. Dat is erg vervelend omdat er zoveel tijd en zorg in de website zit, maar ook omdat dit het bedrijf veel financiële schade kan toebrengen.
BSM doet scans om de website beveiliging te controleren, het liefst nog voordat ze gelanceerd worden. Op basis van de resultaten geeft BSM adviezen om de beveiliging te verbeteren. Natuurlijk kunt u ook zelf al veel doen: hieronder hebben wij een lijst gemaakt met veel voorkomende trucs van hackers en de mogelijke oplossingen daarvoor. SQL Injectie Een website bevat vaak een of meerdere databases met daarin bijvoorbeeld de content van de website of een lijst met klanten van een webshop. Als het goed is, kan alleen de beheerder van de website bij de database. Hij gebruikt hiervoor de computertaal SQL. Helaas zijn hackers ook geïnteresseerd in databases van iedere website. Wanneer er een lek zit in uw website beveiliging, kunnen hackers via dat lek met SQL opdrachten geven aan de database. Ze injecteren als het ware de SQL codes in uw website. Met SQL injectie kunnen hackers bijvoorbeeld een bot maken die uw database volzet met spam of teksten op uw website aanpassen. Om SQL injectie te voorkomen is het belangrijk dat u weet wat de open plekken zijn in uw website, deze worden duidelijk met een beveiligingsscan. Cross-site scripting / X-site scripting/XSS Iedere website met invulvelden is gevoelig voor cross-site scripting. In plaats van dat de hacker zijn naam of adres invult, plaatst hij een script in het invulveld. Als hij op versturen drukt, wordt het script verstuurd naar de server en uitgevoerd op computers van anderen of zelfs op de server zelf. Zo kan het script bijvoorbeeld computers overnemen of de server uitlezen. Om cross-site scripting te voorkomen is het belangrijk dat er op invoervelden een slimme filtering zit die scripts herkent en blokkeert. Het filter moet zich aan de kant van de server (server side) bevinden zodat de gebruikers van de website daar niet bij kunnen (die zitten aan de client side). Deze methode van hacken is al vele jaren bekend maar wordt nog vaak over het hoofd gezien bij het bouwen van een site. Één slecht beveiligd invulveld betekent een slechte website beveiliging voor de gehele website. de gebruikte “hackcodes” in deze afbeelding zijn geen echte scripts, ze dienen slechts als voorbeeld. Een beveiligingsscan van uw website door BSM geeft u inzicht in de mogelijkheden voor cross site scripting. Bij de mogelijkheden behoren ook geavanceerde onderdelen van websites dan invulvelden, zoals processen onder water. Ook voor gebruikers onzichtbare processen kunnen namelijk door hackers gebruikt worden voor cross-site scripting. Website defacement Als hackers via cross-site scripting of SQL injectie of andere hacktechnieken in uw website zijn binnengedrongen, kunnen zij uw website aanpassen. Bij website defacement doen zij dat door het uiterlijk van uw website te veranderen. Bezoekers zien zo verkeerde informatie. Meestal is defacement het werk van script kiddies: ijverige computerfreaks die veelal als hobby een website aanpassen. De gevolgen zijn afhankelijk van het aantal bezoekers op uw website en de toegepaste vorm van defacement. Gevolgen variëren van imagoschade tot het einde van een bedrijf. Defacement is meestal eenvoudig te voorkomen met de juiste instellingen op de servers en wat eenvoudige website beveiliging. Aanvullende maatregelen zijn er in de vorm van speciale beveiligingspakketten en secure hosting. DDOS attacks Een DDOS aanval, Distributed Denial Of Service, is er op gericht een website of web dienst onklaar te maken door deze te bombarderen met automatisch gegenereerd verkeer. Uw website of webdienst wordt onbereikbaar voor gewone bezoekers doordat er teveel verkeer vanaf het botnet uw richting wordt toegestuurd. Het is lastig iets tegen DDOS attacks te doen, maar niet onmogelijk. Wij hebben een set aan maatregelen die afhankelijk van het soort aanval een oplossing zouden kunnen bieden. Neem contact op voor meer informatie of voor het maken van een afspraak. DOS attacks DOS attacks zijn vergelijkbaar met DDOS attacks, want ook bij een DOS aanval wordt de website onbereikbaar gemaakt (Denial Of Service). Het verschil is dat een DDOS aanval dit doet door overbelasting van de website vanuit veel verschillende (gehackte) computer, “Distributed”, terwijl een DOS aanval vanuit één computer kan worden uitgevoerd. De hacker verstuurt dan bijvoorbeeld een pakketje waardoor de server meteen plat ligt. De zogenaamde ping of death is een van de oudste voorbeelden van dit type DOS aanval. Ook tegen DOS aanvallen zijn tegenmaatregelen te nemen, die eenvoudiger zijn dan beveiliging tegen DDOS. Het is bijvoorbeeld belangrijk om alle programma’s en het besturingssysteem op uw server up to date te houden. BSM kan voor u controleren of uw software inderdaad up to date is. Ook controleert BSM voor u de andere mogelijkheden voor DOS beveiliging. Website beveiliging door BSM Om te voorkomen dat uw website gehackt wordt, kunt u het beste een specialist zoals BSM inschakelen. Met een handmatige website beveiligingsscan controleren wij uw website en webapplicaties op mogelijkheden voor SQL Injection, cross-site scripting, DDOS en DOS aanvallen en bijvoorbeeld of de inlogmodule wel veilig is. Het is ook mogelijk om door ons uw broncodes te laten scannen, dit gebeurt soms handmatig maar kan ook geautomatiseerd worden. Door uw webomgeving te controleren krijgt u een helder beeld van de kwetsbaarheden van uw website. Gebaseerd op de kwetsbaarheden geven wij advies over de vervolgstappen om uw website te beveiligen. Bent u geïnteresseerd? Neem dan contact met ons op. Cookies Cookies zijn kleine bestanden die een web applicatie op de computers van gebruikers kan zetten. Zo weet buienradar bijvoorbeeld van welke plaats je het weer wilt weten als je een tweede keer terugkomt. Voor welke cookies moet u een melding maken? Voldoen de cookies die uw website gebruikt aan de wetgeving? Cookies worden ook meegenomen in onze testen voor webapplicaties, maar omdat het zo’n belangrijk onderdeel is geworden van websites, hebben wij hier een aparte pagina over gemaakt. Pentest en website beveiliging Om uw website optimaal te beveiligen is het gebruikelijk om voorafgaand aan een webapplicatie scan ook een pentest uit te laten voeren. DIt kan eenmalig gebeuren, maar ook automatisch periodiek. Een pentest geeft u inzicht in de veiligheid van het besturingssysteem en het netwerk en van sommige onderdelen van de webapplicatie. Een pentest is snel en makkelijk, een webapplicatie controleren is altijd meer werk. Voor informatie over pentests, kunt u hier kijken. Owasp Onze voorbeeldlijst van de veelvoorkomende hacks is natuurlijk niet volledig, want er bestaan veel meer manieren om websites te hacken. Als u geïnteresseerd bent in een technische top 10 van veel voorkomende hacks op webapplicaties, is dit document misschien interessant voor u. Het document is gemaakt door Owasp, een wereldwijd bekende groep van vrijwilligers die kennis delen voor het veilig maken van web applicaties.