In ieder programma zitten fouten. Hoe klein de fout ook is, vroeg of laat wordt hij ontdekt. Bij een beveiligingslek in een website kunnen de gevolgen enorm zijn.
Remko Stouthart, Certified Inprise Consultant voor de programmeer-tool Borland Delphi en Microsoft Certified Professional voor SQL Server, heeft diverse lekken geconstateerd bij websites. In deComputabledie vrijdag aanstaande uitkomt (week 40, 6 oktober 2000) geeft hij beveiligingstips voor websites die gebruik maken van het besturingssysteem NT Server, in combinatie met Internet Information Server (IIS), ASP-technologie (Active Server Page) en SQL Server. Hoewel dit een krachtig platform is voor het ontwikkelen van dynamische websites, kan een kleine fout in de configuratie of code grote gevolgen hebben voor de veiligheid van de site.
Een van zijn aanbevelingen is om een goede standaard foutafhandeling in te stellen met een doorverwijzing naar bijvoorbeeld de hoofdpagina van de website. Hij raadt aan foutmeldingen die optreden tijdens het ophalen van de ASP niet te tonen in de browser van de bezoeker. Met behulp van deze meldingen kan een ervaren programmeur vrij gemakkelijk achterhalen of, en zo ja welke, mogelijkheden er zijn om de betreffende website te hacken.
De website van Automatisering Gids is eind augustus enige tijd uit de lucht geweest, doordat foutinformatie gebruikt is om enkele ASP-bestanden van een andere naam te voorzien. Hierdoor waren nieuwsberichten een paar uur niet op te vragen. Ook is de gehele website in dezelfde periode een weekeinde uit de lucht geweest, nadat door derden het wachtwoord van de beheerder was aangepast.
De website van Delphi Informant Magazine (http://www.delphizine.com) toont in geval van een ’time-out’ naar de database de volledige naam van het bestand waarin de fout is opgetreden. In dit bestand blijken gebruikersnaam en wachtwoord van de beheerder te staan, met alle gevolgen voor het veranderen van deze cruciale informatie van dien. Ook de website van MSI, fabrikant van moederborden, vertoont een behoorlijk lek. De gebruikersnaam waarmee de verbinding naar SQL Server wordt gemaakt is in een standaard foutmelding te lezen. Dit gegeven is voldoende om het wachtwoord te wijzigen, met een vastgelopen website als resultaat.
