image

Negentig procent websites kwetsbaar voor hackers

dinsdag 25 maart 2008, 11:10 door Redactie, 4 reacties

Negentig procent van de websites is kwetsbaar voor hackers, aldus onderzoek van een beveiligingsbedrijf dat gemiddeld 7 beveiligingslekken per site ontdekte. Elk jaar onderzoekt WhiteHat Security tal van websites, waarbij het aantal hackbare websites ten opzichte van vorig jaar niet is veranderd. Dat geldt ook ook voor de meest voorkomende beveiligingslekken. Cross-Site Scripting (XSS) is nog altijd de nummer één kwetsbaarheid en aanwezig in 70% van de websites.

Een dreiging die al enige tijd bekend is, maar steeds vaker wordt gebruikt door hackers, is Cross-Site Request Forgery (CSRF). Via deze kwetsbaarheid kunnen aanvallers vertrouwelijke informatie achterhalen zoals wachtwoorden of gebruikers met ongewenste downloads opzadelen. Bijkomend probleem is dat veel scanners niet op CRSF kwetsbaarheden zoeken. Websites van verzekeringsmaatschappijen zijn het meest lek, waarbij 84% van de gevonden kwetsbaarheden "urgent", "ernstig" of "zeer kritiek" zijn. IT-sites komen op de tweede plek met 72%, gevolgd door de gezondheidszorg en financiële dienstverleners met respectievelijk 64% en 60%.

Compliance werkt

Hoewel sommige sectoren hun zaakjes beter op orde hebben dan andere, heeft een aanvaller maar een enkel lek nodig om binnen te dringen. Ondanks de risico's blijken veel ondernemingen de veiligheid van hun website niet serieus te nemen, zo laat het beveiligingsbedrijf weten. Door compliance maatregelen, zoals Payment Card Industry Data Security Standard (PCI DSS) Sectie 6.6, worden ondernemingen wel gedwongen om in de veiligheid van hun website te investeren. Voor 30 juni 2008 moeten alle sites die aan deze standaard willen voldoen, hun website laten controleren door een beveiligingsbedrijf of een applicatie firewall uitrollen.

Reacties (4)
25-03-2008, 11:48 door [Account Verwijderd]
[Verwijderd]
25-03-2008, 11:57 door Nomen Nescio
OK, je bent een simpele gebruiker en je denkt: goh, laat ik eens een websiteje
maken met foto's van de kinderen. Je kent ze wel. En hoe zouden die hun site
nou moeten beveiligen? En hoe zouden ze daar achter kunnen komen?
Moeten ze nou voor hun tiencentensite een beveiligingsbedrijf gaan inhuren?
Bullshit. Maar het gaat hier wel om 90% van de sites die je op internet vindt.
Want iedereen die even wat verder op internet komt, begint zelf ook te denken
aan een site, van de familiefoto's, van de hobby of sport, en noem maar op.
En dan een leuk dagboekje er bij: schrijf jij ook wat in mijn dagboek?

Kopen op internet doe ik alleen bij vertrouwde sites en dan nog alleen maar via iDeal, en banken kijken ook wel uit dat iedereen zomaar binnen kan komen. Kortom: waar hebben we het hier nou eigenlijk over?
25-03-2008, 12:19 door Anoniem
Neem maar van mij aan dat de beveiliging bij websites van prominente
bedrijven net zo triest is gesteld als bij een gemiddelde huis-tuin-en-keuken
website.

Ik heb dit ook al meerdere malen aangetoond.

Greetingz,
Jacco
25-03-2008, 12:54 door Ferdinand
WhiteHat baseerd zijn bevindingen op de resultaten van de beveiligingstests
die ze hebben uitgevoerd op websites van hun klanten. Die zullen
voornamelijk in de USA gevestigd zijn.

Uit het rapport van april 2007:
Through our flagship service, WhiteHat Sentinel, we perform rigorous
and ongoing vulnerability assessments on hundreds of (public-facing)
production and development websites each month. Our work gives us a one-
of-a-kind perspective into website vulnerability trends across financial, e-
commerce, healthcare and high-tech industries. WhiteHat Security can
accurately identify which issues are currently the most prevalent and severe.
As the only company with access to this depth of cumulative data, we are
sharing our findings to provide enterprises with a clearer picture of the
vulnerability management issues affecting their websites.

WhiteHat stelt dat de kans erg groot is dat het om websites gaat die tot de
meest belangrijke en beveiligde websites van het web gaat.

Uit het rapport van april 2007:
Also, bear in mind that not all websites have the same
overall business value. Some websites are mission critical, while others are
static “brochureware.” This is important to understand, since the websites
managed under WhiteHat Sentinel are more likely to represent the
most “important” and “secure” websites found on the Web, conducting high-
volume transactions or managing sensitive information.

WhiteHat heeft het rapport nog niet gepubliceerd. Wel een persbericht en een
aankondiging van een webcast.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.