Web Application Scanning

penetrator vulnerability management klantenportaal extranet

 

Website gevaren

Website kunnen op vele manieren worden gehackt

Vele websites zijn gehackt de afgelopen jaren, een veel gebruikte techniek is de SQL-injectie. SQL-injectie is een hacktechniek die vaak wordt toegepast op websites en webapplicaties.  Zelfgebouwde gastenboeken en inlogformulieren zijn net zo vaak, of zelfs vaker, doelwit als bij een grote bank.  De techniek draait om het invoegen (injecteren) van commando’s op plekken waar dit niet wordt verwacht. Een SQL-injectie komt vaker voor dan dat u zou denken. Veel web toepassingen zijn gevoelig voor SQL-injecties.  Als een hacker een opening vindt, stuurt hij kwaadaardige gegevens als onderdeel van een commando of database-opdracht.

Vorig jaar (2015) waren de SQL-injectie-aanvallen verantwoordelijk voor 83 procent van de succesvolle aanvallen waarbij hackers data van bedrijven wisten te stelen. Veel bekende bedrijven zoals Sony, Nokia maar ook de websites van een aantal grote artiesten zoals artieste Lady Gaga werden slachtoffer van SQL-injecties.

Het bericht van de hacker zorgt ervoor dat de toepassing bepaalde gegevens wijzigt of een commando uitvoert, waar hij eigenlijk niet op zou moeten reageren.  In velden waar u normaal uw naam of bericht zou invoeren, vult de hacker delen van SQL-queries in.  Dit doet hij in de hoop dat het systeem aan de andere kant van het formulier zo ingesteld is dat het de queries ‘blind’ gaat uitvoeren.

 

Hoe is het mogelijk?

Bescherm u zelf voor het te laat is!

Bij een SQL-injectie wordt de  webapplicatie gekraakt om een achterliggende database bloot te leggen. Door bepaalde vragende queries toe te passen, kan een hacker ervoor zorgen dat een database onbedoeld gevoelige data begint op te hoesten. Die gevoeligheid ontstaat doordat de database ontworpen is om via een webapplicatie (legitieme) commando’s te verwerken die (onschuldige) gegevens toont. Een SQL-injectie is een database (SQL, MySQL, Oracle etc.) aanval waarbij gegevens uit de database kunnen worden gehaald, of kunnen worden gemodificeerd.

Ook uw intellectueel eigendommen of uw patenten lopen risico!

Een SQL-injectie heeft tot gevolg dat hackers niet alleen bedrijfsdata zoals klantgegevens kunnen ontvreemden, maar ook  intellectueel eigendom of een geheim patent. Ook kan het wachtwoord van de beheerder achterhaald worden, waardoor de hacker de backend database in zijn geheel kan overnemen en er bijvoorbeeld een malware-applicatie in kan plaatsen. Tot slot is ook het platleggen of omvormen (defacing) van de website mogelijk.

Bescherm u zelf goed!

Hackers en exploits

Het is erg belangrijk om u zelf te beschermen tegen Web Application risico zoals SQL-injecties en Cross-site scripting. Een SQL-injectie en Cross-site scripting zijn de meest gebruikte en de gevaarlijkste exploits die een hacker kan gebruiken. Er zijn zelfs heel veel automatische tools waardoor de hacker alleen maar hoeft toe te kijken terwijl de toegang tot uw website of server automatisch wordt verleend.

Tijd voor actie!

De SecPoint Penetrator kan alle Web Application risico zoals SQL-injecties en Cross-site scripting detecteren. Na het detecteren van een SQL-injectie of Cross-site scripting hack, is het zaak deze zo snel mogelijk aan te pakken. In de rapportage van de Penetrator staat gedetailleerde informatie om dit goed op te pakken. Via het SecPoint Ticket Management kunnen de taken worden toegekend aan die personen die deze problemen kunnen aanpakken. De manager houdt hier door zicht via het SecPoint Ticket Management om te zien of de gevonden problemen wel zijn opgelost.

De maandelijkse rapportage van de Penetrator geeft u een duidelijk beeld van de kwetsbaarheden die zijn opgedoken en opgelost. Daarmee is een vulnerability tool zoals de Penetrator een noodzaak voor het management van uw bedrijf.