Webshops beveiligen - Verhelp de gaten in uw software

Gaten en zwakke plekken in de software van webshops worden regelmatig misbruikt om toegang te krijgen tot systemen. Het vinden van deze zwakke plekken is geen gemakkelijke klus, zelfs niet voor ervaren programmeurs. Het is iet zo dat je helemaal niets kunt doen, vooral voor de standaard software pakketten worden dergelijke zwakheden, de zogenaamde vulnerabilities, op veel plaatsen op internet gepubliceerd. Er zijn dan vaak direct updates beschikbaar om deze problemen op te lossen.

Het is belangrijk dat deze updates snel worden geïnstalleerd omdat ook hackers deze lijsten in de gaten houden, en dan precies weten wat de zwakke plekken zijn. Via geautomatiseerde scans worden kwetsbare webshops opgespoord, en dan is de kans dat er ingebroken wordt groot. Zorg er dus altijd voor dat je de laatste versies van je software gebruikt!

Waar kan ik bekende lekken vinden?

Er zijn verschillende websites die de zwakheden in software registeren en beschikbaar stellen. Meestal wordt er daarbij gebruik gemaakt van CVE, Common Vulnerabilities and Exposures. Op onder meer de volgende websites worden vulnerabilities gepubliceerd:

• National Vulnerability Database
• SecurityFocus

Je kunt je het beste op een RSS feed abonneren, dan hoef je niet elke keer te controleren op nieuwe waarschuwingen, maar dan krijgt je deze automatisch binnen. Daarnaast heeft de leverancier van uw software meestal ook een website waarop beveiligingswaarschuwingen worden gepubliceerd. Het is belangrijk om deze in de gaten te houden, hackers doen dat namelijk ook!

Hoe kunnen hackers mijn software misbruiken?

Er zijn een verschillende manieren waarop hackers software misbruiken. We zullen hier in deze blog niet diep op ingaan, maar het is wel belangrijk dat je op de hoogte bent van de mogelijkheden die er zijn zodat je ook uw eigen software hier op kunt beoordelen. Hieronder de meeste gebruikte methoden om in te breken volgens WASP:

• SQL injection; Door invoer niet goed te controleren is het mogelijk om database bevragingen aan te passen zodat er meer informatie uit de database wordt getoond dan dat de bedoeling is.
• Cross Site Scripting (XSS); Door invoer van gebruikers niet goed te controleren of niet op een veilige manier te tonen, is het mogelijk om code aan website toe te voegen, of sessies van gebruikers over te nemen.
• Onjuist geïmplementeerde authenticatie- of sessiemanagement; Misbruik van authenticatie scripts waardoor identiteit van anderen overgenomen kan worden.
• Onveilige directe referenties; Directe toegang tot bestanden of mappen met informatie die niet toegankelijk horen te zijn.
• Cross Site Request Forgery (CSRF); Overname van cookies en sessies door het versturen van vervalste HTTP verzoeken.
• Configuratiefouten; Het onjuist configureren van hardware waardoor beveiligingslekken ontstaan.
• Onversleutelde opslag van gegevens; Het nalaten van het beveiligen van gevoelige persoonsgegevens met bijvoorbeeld encryptie en hashing.
• Onbeveiligde toegang; Het niet controleren op de juiste bevoegdheden bij het benaderen van bepaalde delen van een website waardoor deze voor onbevoegden benaderbaar zijn.
• Onvoldoende beveiliging op het dataverkeer; Het niet versleutelen van het dataverkeer tussen de server en de browser door webapplicaties.
• Ongecontroleerde redirects en forwards; Het omleiden van bezoekers doordat redirects en forwards niet juist gecontroleerd worden.

Mijn software is speciaal voor mijn webshop ontwikkeld, is dit dan wel veilig?

Het voordeel van maatwerk is dat de source niet openbaar beschikbaar is, waardoor hackers deze niet kunnen gebruiken om zwakheden in je systeem te ontdekken. Helaas is dat tegelijkertijd ook een nadeel, omdat problemen niet aan het licht komen en beveiligingsproblemen dus kunnen blijven bestaan Je bent met maatwerk dus zeker niet veiliger, en ook maatwerk moet regelmatig gecontroleerd worden op problemen.