Patchen zonder het versie nummer aan te passen behoort echt niet tot de zgn. 'best practices', doe maar eens een asafaweb scan voor een asp website. (errors-fail, http-only cookies, clickjacking waarschuwingen).
Men hoort het wel vaak roepen in het veld, maar het is een vorm van 'security through obscurity' en echt niet zoals het hoort te worden geïmplementeerd. Veel grote zorgen zijn echter af te serveren plug-in code en nog erger, verlaten code, die niet meer door de ontwerper(s) wordt onderhouden, of geobfusceerde stukken code zonder te weten wat het doet en te exploiteren fouten natuurlijk.
Servers geven de mogelijkheid om de server in kwestie zoveel mogelijk te laten zwijgen (niet geheel echter, want er zijn nog andere methoden om uit te vogelen met wat voor server men bijna zeker te maken heeft).
Maar buitensporige server info verspreiding (ook wel excessieve server info proliferatie genoemd) is ongewenst, evenzeer is het ongewenst, dat info van naamservers wordt verspreid (doe een DNS scan). Hee, daar draait zus en zo en daar kan een bind9 exploit kwetsbaarheid zitten. Meer iets voor de script-kiddies onder ons, maar toch. Dazzlepod scannetje draaien ook altijd zeer informatief (info mag niet gedeeld of tegen een website gebruikt)
Bovenstaand overzicht geeft ons geen inzicht over de stand van zaken aangaande input - output beveiliging, over inline scripting en actuele cloaking (verschillen tussen wat google ziet en wat google bot krijgt voorgeschoteld) en suspecte of kwaadaardige code, of onzichtbare iFrame code en externe links, die men beter kan blokkeren.
Het is slecht een moment opname van hoe de verschillende laagjes van web beveiliging kunnen zijn ingevuld en welke technieken hierbij zijn gebruikt - niet of de website elk moment kan worden gecompromitteerd. Een XSS exploit via webbug-code kan nog mogelijk zijn als de rest al is afgevangen. De dark hacker zoekt al de kleine wormgaatjes die hij onder de pet houdt na, maar gaat meestal voor het laaghangend fruit. Brute force aanvallen, php etc. etc.
Goede beveiliging is zeker zinvol, men gaat dan elders brute forcen of aan deuren en ramen rammelen. Of je moet te maken hebben met een gerichte aanval van specialisten. Daar helpt helaas vaak geen lieve moeder aan.
Dat de meeste website bouwers weinig kaas hebben gegeten van specialistisch website beveiligen en fouten jagen staat voor mij buiten kijf, maar dat is een geheel ander verhaal. Welk leuk om een en ander bovenstaand uitgewerkt te zien,
maar dan weten we nog niet voldoende welke website het eerst op omvallen zou staan of bezwijkt onder een automatische aanval.
Een goed beveiliger heeft meestal genoeg aan het doorlopen van een scan als deze https://aw-snap.info/file-viewer/ van Redleg om te zien waar ergens de schoen kan wringen. Dan als je het echt goed wil doen moet de rest ook allemaal nog in een afgegrendelde omgeving gaan testen. Maar als eerste ruwe indicatie hebben we per slot van rekening ten allen tijde de code-oren plat op de grond en horen als het ware de kwaadaardigheid of banner-pupjes ruisen. (Waar heb ik dat al eens eerder gezien of meegemaakt -oh dat was een zus en zo en daarom geblacklist?).
Nog een tip blijf met je website weg uit een mono-cultuur, alle (boze) vingers gaan richting Kwatta in dat geval. Variatie daar verhoogt je algemene veiligheid. En weet dat je geen last zal hebben van Nederlandse hackers. De pakkans in de eigen achtertuin is echt veel te groot om het zelfs te overwegen.
Blijf vooral veilig en secuur zowel offline als online, is de wens van
luntrus