Een gebrek aan middelen tijdens de ontwikkelingsfase. Te strakke deadlines. Beide blijken nefast voor de veiligheid van applicaties.

Advertentie

Er is vaak onvoldoendeg aandacht voor security testing van webapplicaties. Een gebrek aan middelen tijdens de ontwikkelingsfase en te strakke deadlines zijn vaak nefast voor de veiligheid van applicaties.

Het ICT-dienstenbedrijf CTG pleit daarom voor de invoering van een kwaliteitslabel dat de veiligheid van websites en webapplicaties garandeert. “Foutloze webapplicaties bestaan niet. Toch kunnen bedrijven preventieve maatregelen nemen om de mazen in hun ICT-web te dichten”, stelt Jouri Dufour, security test consultant en ethisch hacker bij CTG.

“Hackers weten maar al te goed dat elke webapplicatie een zwak punt heeft. Terwijl zij zoeken naar de zwakheden, focussen ontwikkelaars en testers eerder op de uitstekende werking van de webapplicatie", zo vervolgt hij. “We merken wel dat veiligheid aan belang wint, en dan vooral bij overheidsinstellingen en banken”, aldus Dufour. “Maar in andere sectoren is men er in de praktijk vaak minder mee bezig."

Meest voorkomende veiligheidsproblemen

Welke zijn de problemen die regelmatig opduiken tijdens security assessments van webapplicaties? Dufour somt er enkele op.

1.) SSL

Advies: voorzie een veilige Secure Sockets Layer (SSL). 

De SSL oftewel het encryptie-protocol dat communicatie op het internet, zoals online aankopen, financiële transacties of het versturen van persoonsgegevens, beveiligt, ondersteunt vaak nog verouderde versies. Een hacker kan dan zonder al te veel moeite persoonlijke gegevens onderscheppen en lezen tijdens de overdracht naar een andere server. Vooral banken worden geconfronteerd met deze vorm van hacking.

2) Foutmeldingen.

Advies: ga consistent om met foutmeldingen op je website. 

Foutmeldingen die incorrect worden afgehandeld zijn een geschenk voor de hacker. Een veel voorkomend voorbeeld zijn de foutieve gebruikersnaam- of paswoordmeldingen. Een slechte foutafhandeling maakt het de hacker heel gemakkelijk om de logingegevens van de surfer te ontcijferen.

3) Onveilige cookies

Advies: Bied de hacker geen onveilige cookies aan

Cookies worden onder meer gebruikt voor het onthouden van loginnamen of het verzamelen van surfinformatie, maar wanneer de cookies onvoldoende beveiligd zijn, kan de hacker deze gebruiken als toegangspas tot kritieke data.

4) Leasen van websites

Advies: Lease je webapplicatie niet aan hackers (het zogenaamde cross frame scripting)

Sommige bedrijven leasen hun website ongewild aan hackers. In deze situatie laadt de hacker de originele website in de zijne zonder dat dit onmiddellijk zichtbaar is. Het kost de hacker dan heel weinig moeite om de persoonlijke gegevens van de surfer te bekomen.