"Veel webapplicatie lekken niet zo ernstig"
Als het gaat om het testen van de beveiliging van webapplicaties zijn er drie kanten: die van het bedrijf, de resultaten van het vulnerability assessment en de waarheid. Of er nu een commerciele of open source scanner gebruikt wordt, ongetwijfeld vinden ze een berg aan informatie en beveiligingslekken.
Volgens Kevin Beaver zijn veel van de webapplicatie lekken die worden gevonden niet zo ernstig als ze lijken. "Ongeacht de marketing sprookjes of van tevoren opgestelde policies en rapporten, het bedrijfsnetwerk, behoeften en risico tolerantie bepalen wat echt belangrijk is bij het verwerken van een vulnerability assessment".
Waar het op neerkomt is dat zolang de webapplicatie testtool niet het lek misbruikt en de resultaten op een zilveren schaal aanbiedt, het bedrijf zelf de resultaten moet doorlopen om te zien of het gevonden probleem ook daadwerkelijk een probleem is.
In dit artikel beschrijft Beaver verschillende beveiligingsproblemen die scanners vaak aantreffen, maar uiteindelijk niet zoveel voorstellen. Zoals SQL injectie waarbij achter de schermen de input wel gevalideerd wordt. Aanwezigheid van een .old bestand dat uiteindelijk geen waardevolle informatie bevatte en een lekke Apache Web server die zou draaien maar helemaal niet geinstalleerd was.
Niet blindgaan op de resultaten van een scanner en zelf een beetje onderzoek doen voorkomt een hoop ellende en zorgt uiteindelijk voor minder werk.
Immers, je auto loopt ook wel eens een krasje op en dan laat
je het ook niet meteen opnieuw schilderen.
M.a.w. als je niet meteen verlies van data lijdt of gevaar
loopt andere systemen gecompromiseerd te zien doordat een
exploit ook misbruikt wordt, dan kun je het laten zitten. Ik
zeg 'kun', niet dat je het zou moeten laten zitten.
Maar soms moet je serieus een kosten / baten analyse maken
om te zien hoeveel winst je behaalt met het dichten van een lek.
Als je auto er niet minder veilig op wordt door een krasje
of een deukje (van buiten zie je dat meestal niet zo goed),
dan kun je blijven rijden. Dat het dan minder veilig is, of
minder mooi voor de esthetici is iets anders. Want als het
je teveel kost terwijl je heel weinig risico loopt, dan zou
ik het laten zitten.
Dan kun je zeggen, dat is vragen om exploitatie. Dat is niet
helemaal waar. Ik denk dat verzekeringsmaatschappijen je
precies kunnen uitleggen waarom iets een groot of een klein
risico is. Dat zou ook moeten gelden voor bepaalde soort lekken.
- Unomi -
beveiligingsprobleem een “niet lineair†probleem is. Anders
gezegd het geheel is meer dan de som der delen. Een
beveiligingsfout kan op zichzelfstaand bekeken niet ernstig
zijn. Echter een combinatie van twee niet zo ernstige fouten
kan dat wel weer zijn. Dit is iets dat geregeld voorkomt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
