Hackers vermommen hun aanvallen op websites en omzeilen daarmee huidige beveiligingsmiddelen. Die webaanvallen misbruiken bekende zwakheden die weliswaar zijn afgeschermd, maar niet tegen 'encoded'-varianten van bekende aanvallen als SQL-injectie en cross-site scripting (xss).
Beveiligingsbedrijf WhiteHat Security meldt op basis van kwartaalonderzoek onder zevenhonderd websites dat ruim zestig procent van de websites een beveiligingslek heeft. Zo'n tachtig procent van de sites had een beveiligingsgat, maar sommige daarvan zijn dus gedicht. Vaak zijn de ontdekte kwetsbaarheden wel afgedekt, maar kwaadwillenden vermommen hun aanvallen waarmee de reguliere bescherming wordt omzeild. Aanvallen zijn dus steeds moeilijker te detecteren.
"De doodgewone SQL-injectie en xss-aanval (cross site scripting) worden vervangen door versleutelde varianten", zegt cto Jeremiah Grossman van WhiteHat. "Elk type aanval dat kwaadaardige code 'injecteert' in een website of webapplicatie is te vermommen met wel honderd verschillende technieken en variaties." Beveiligingsbedrijf ScanSafe neemt ook een toename van het aantal vermomde aanvallen waar. ScanSafe houdt eigen metingen bij.
WhiteHat-techneut Arian Evans gaf begin deze maand al een presentatie over transcoding van webaanvallen op beveiligingsconferentie BlackHat die plaatsvond in Las Vegas. De websitekeuring van WhiteHat is het vijfde kwartaalonderzoek van dit beveiligingsbedrijf. Het volledige rapport is online aan te vragen.
Gemiddeld vijf gaten
Veel websites hebben een of meerdere kwetsbaarheden. WhiteHat vond in zijn kwartaalonderzoek gemiddeld vijf beveiligingslekken per website. Bij 61 procent van de onderzochte websites zijn de kwetsbaarheden zo ernstig, dat de sites niet meer voldoen aan de beveiligingsregels van de betaalkaartenbranche, de PCI-DSS standaard. WhiteHat hanteert die strikte regels voor zijn weging van websites en beveiligingsgaten daarin.
Xss is het meest voorkomende probleem en werd op 67 procent van de onderzochte websites aangetroffen. Daarna volgt als grootste gevaar het vervalsen van webpagina's of zelfs complete sites (content spoofing). Dat gebeurt bij 21 procent van de sites. Andere gevaren zijn gebrek aan authorisatie (18 procent) en injectie van kwaadaardige code in SQL-databases (17 procent). Ook het misbruiken van gebruikersrechten op een site (cross-site request forgery) gebeurt vaak.
Traag
De onderzoekers van WhiteHat concluderen ook dat beveiligingsgaten in websites slecht worden aangepakt. Het duurt gemiddeld 78 dagen voordat een xss-probleem is opgelost. In het geval van SQL-injectie duurt het 43 dagen. Vaak draagt de complexiteit van websites zelf bij aan deze traagheid.
Het beveiligingsbedrijf adviseert dan ook om bij het ontwerpen en bouwen van sites meer rekening te houden met security. Dat betreft niet alleen de technische kant van een website, maar ook de beheerkant: er moeten duidelijke afspraken zijn over de verantwoordelijkheid voor de beveiliging van de site.
“Maar niet tegen ‘encoded’-varianten van bekende aanvallen als SQL-injectie en cross-site scripting (xss).”
Beetje goede CGI,PERL,JAVA programmeur laat zijn eigen webserver script (1) eerst alle input parameters van zijn webfrontend checken of ze uberhaupt toegestaan zijn, (2)nog voordat ie zijn script ook maar iets laat uitvoeren.
Dit heet de “Defensie Programming Attitude(tm)”, waarbij de programmeur/ coder (en geen point and click script kiddie) er By Default vanuit dat de gebruiker alle input kan ver**** bewust of onbewust. Pas als alle input binnen de gestelde grenzen zijn, dan gaat het script verder met de uitvoer ervan.
Oh ja das is handwerk, en geen template bakkerij 😉
Simpel toch? Check first, execute code later.
XXS ellende is ook simpel op te lossen:
Installeer op je clients Firefox met NoScript. Valt er ook niks te crosscripten 😉
# “Security is not found in tools”
# “Security is found in a programmers state_of_mind”;