website security
website security test uit laten voeren:
Website veiligheid laten testen; Hoe veilig is uw website of webapplicatie?
website security test uit laten voeren:
Triple-B doet scans om de website beveiliging te controleren, het liefst nog voordat ze gelanceerd worden. Op basis van de resultaten geeft Triple-B adviezen om de beveiliging te verbeteren. Situaties die u wellicht bekend voorkomen:
- Ik heb een nieuwe webapplicatie laten bouwen, maar is deze wel veilig?
- Onze webserver is volgens de beheerder up-to-date maar is dat zo?
- Hoe komt die reclame van een ander nu opeens op onze site?
- Zijn de login schermen wel veilig genoeg?
- Heb ik geen two-factor authenticatie nodig?
Op dit soort vragen geven wij u het antwoord. Dit kan soms door op afstand de webapplicaties door te meten, soms maken we een afspraak om (eventueel samen) in te loggen om een server vanbinnen te bekijken. In andere situaties krijgen wij van onze opdrachtgever de broncodes van de webapplicatie en testen wij deze met software en/of handmatig op veiligheid afhankelijk van het budget en aantal code regels maar ook in verhouding tot de risico’s die u straks loopt als de applicatie draait.
Wilt u weten welke soort tekst voor u geschikt is? U krijgt altijd vooraf een intakegesprek en prijsopgaaf inclusief de voorgestelde werkwijze. Pas als u akkoord gaat met het voorstel, berekenen wij kosten voor het werk.
Klik hier (knop) om afspraak te maken
Onderaan de pagina extra blok:
H2 tag: Achtergrondinformatie en informatiebronnen
Natuurlijk kunt u ook zelf al veel doen: hieronder hebben wij een lijst gemaakt met veel voorkomende trucs van hackers en de mogelijke oplossingen daarvoor.
Veel voorkomende trucs van hackers en de mogelijke oplossingen daarvoor:
SQL Injectie
Een website bevat vaak een of meerdere databases met daarin bijvoorbeeld de content van de website of een lijst met klanten van een webshop. Als het goed is, kan alleen de beheerder van de website bij de database. Hij gebruikt hiervoor de computertaal SQL. Helaas zijn hackers ook geïnteresseerd in databases van iedere website.
Wanneer er een lek zit in uw website beveiliging, kunnen hackers via dat lek met SQL-opdrachten geven aan de database. Ze injecteren als het ware de SQL-codes in uw website. Met SQL-injectie kunnen hackers bijvoorbeeld een bot maken die uw database volzet met spam of teksten op uw website aanpassen.
Om SQL injectie te voorkomen is het belangrijk dat u weet wat de open plekken zijn in uw website, deze worden duidelijk met een beveiligingsscan.
Cross-site scripting / X-site scripting/XSS
Iedere website met invulvelden is gevoelig voor cross-site scripting. In plaats van dat de hacker zijn naam of adres invult, plaatst hij een script in het invulveld. Als hij op versturen drukt, wordt het script verstuurd naar de server en uitgevoerd op computers van anderen of zelfs op de server zelf. Zo kan het script bijvoorbeeld computers overnemen of de server uitlezen.
Om cross-site scripting te voorkomen is het belangrijk dat er op invoervelden een slimme filtering zit die scripts herkent en blokkeert. Het filter moet zich aan de kant van de server (server side) bevinden zodat de gebruikers van de website daar niet bij kunnen (die zitten aan de client side). Deze methode van hacken is al vele jaren bekend maar wordt nog vaak over het hoofd gezien bij het bouwen van een site. Eén slecht beveiligd invulveld betekent een slechte website beveiliging voor de gehele website.
de gebruikte “hackcodes” in deze afbeelding zijn geen echte scripts, ze dienen slechts als voorbeeld.
Een beveiligingsscan van uw website door TRIPLE-B geeft u inzicht in de mogelijkheden voor cross site scripting. Bij de mogelijkheden behoren ook geavanceerde onderdelen van websites dan invulvelden, zoals processen onder water. Ook voor gebruikers onzichtbare processen kunnen namelijk door hackers gebruikt worden voor cross-site scripting.
Website defacement
Als hackers via cross-site scripting of SQL-injectie of andere hacktechnieken in uw website zijn binnengedrongen, kunnen zij uw website aanpassen. Bij website defacement doen zij dat door het uiterlijk van uw website te veranderen. Bezoekers zien zo verkeerde informatie.
Meestal is defacement het werk van script kiddies: ijverige computerfreaks die veelal als hobby een website aanpassen. De gevolgen zijn afhankelijk van het aantal bezoekers op uw website en de toegepaste vorm van defacement. Gevolgen variëren van imagoschade tot het einde van een bedrijf.
Defacement is meestal eenvoudig te voorkomen met de juiste instellingen op de servers en wat eenvoudige website beveiliging. Aanvullende maatregelen zijn er in de vorm van speciale beveiligingspakketten en secure hosting.
DDOS-attacks
Een DDOS aanval, Distributed Denial Of Service, is er op gericht een website of web dienst onklaar te maken door deze te bombarderen met automatisch gegenereerd verkeer. Uw website of webdienst wordt onbereikbaar voor gewone bezoekers doordat er te veel verkeer vanaf het botnet uw richting wordt toegestuurd.
Het is lastig iets tegen DDOS attacks te doen, maar niet onmogelijk. Wij hebben een set aan maatregelen die afhankelijk van het soort aanval een oplossing zouden kunnen bieden.
Neem contact op voor meer informatie of voor het maken van een afspraak.
DOS attacks
DOS attacks zijn vergelijkbaar met DDOS attacks, want ook bij een DOS aanval wordt de website onbereikbaar gemaakt (Denial Of Service). Het verschil is dat een DDOS-aanval dit doet door overbelasting van de website vanuit veel verschillende (gehackte) computer, “Distributed”, terwijl een DOS-aanval vanuit één computer kan worden uitgevoerd. De hacker verstuurt dan bijvoorbeeld een pakketje waardoor de server meteen platligt. De zogenaamde ping of death is een van de oudste voorbeelden van dit type DOS-aanval.
Ook tegen DOS-aanvallen zijn tegenmaatregelen te nemen, die eenvoudiger zijn dan beveiliging tegen DDOS. Het is bijvoorbeeld belangrijk om alle programma’s en het besturingssysteem op uw server up to date te houden. TRIPLE-B kan voor u controleren of uw software inderdaad up to date is. Ook controleert TRIPLE-B voor u de andere mogelijkheden voor DOS-beveiliging.
Website beveiliging door Triple-B
Om te voorkomen dat uw website gehackt wordt, kunt u het beste een specialist zoals TRIPLE-B inschakelen. Met een handmatige website beveiligingsscan controleren wij uw website en webapplicaties op mogelijkheden voor SQL Injection, cross-site scripting, DDOS en DOS-aanvallen en bijvoorbeeld of de inlogmodule wel veilig is. Het is ook mogelijk om door ons uw broncodes te laten scannen, dit gebeurt soms handmatig maar kan ook geautomatiseerd worden. Door uw webomgeving te controleren krijgt u een helder beeld van de kwetsbaarheden van uw website. Gebaseerd op de kwetsbaarheden geven wij advies over de vervolgstappen om uw website te beveiligen. Bent u geïnteresseerd? Neem dan contact met ons op.
Cookies
Cookies zijn kleine bestanden die een webapplicatie op de computers van gebruikers kan zetten. Zo weet buienradar bijvoorbeeld van welke plaats je het weer wilt weten als je een tweede keer terugkomt. Voor welke cookies moet u een melding maken? Voldoen de cookies die uw website gebruikt aan de wetgeving? Cookies worden ook meegenomen in onze testen voor webapplicaties, maar omdat het zo’n belangrijk onderdeel is geworden van websites, hebben wij hier een aparte pagina over gemaakt.
Pentest en website beveiliging
Om uw website optimaal te beveiligen is het gebruikelijk om voorafgaand aan een webapplicatie scan ook een pentest uit te laten voeren. DIt kan eenmalig gebeuren, maar ook automatisch periodiek. Een pentest geeft u inzicht in de veiligheid van het besturingssysteem en het netwerk en van sommige onderdelen van de webapplicatie. Een pentest is snel en makkelijk, een webapplicatie controleren is altijd meer werk. Voor informatie over pentests, kunt u hier kijken.
Owasp
Onze voorbeeldlijst van de veelvoorkomende hacks is natuurlijk niet volledig, want er bestaan veel meer manieren om websites te hacken. Als u geïnteresseerd bent in een technische top 10 van veel voorkomende hacks op webapplicaties, is dit document misschien interessant voor u. Het document is gemaakt door Owasp, een wereldwijd bekende groep van vrijwilligers die kennis delen voor het veilig maken van webapplicaties.