10 meest voorkomende lekken in sites - en wat daaraan te doen

1. Slecht wachtwoordbeleid Heel vaak worden geen sterke wachtwoorden afgedwongen. Ook staat men nogal eens gelijktijdige logins toe, of het gebruik van standaard wachtwoorden.
2. Problemen met SSL De implementatie van SSL is regelmatig onveilig, dankzij zwakke sleutels of zelf-ondertekende of vervallen certificaten.
3. Niet goed beveiligd tegen XSS Cross site scripting is een bij hackers populair inbraakmechanisme, waar veel websites onvoldoende maatregelen tegen hebben genomen.
4. Testgegevens niet verwijderd Testen is enorm belangrijk, maar testgegevens moeten niet beschikbaar blijven op de website; ze vormen een ideale wegwijzer voor hackers.
5. Geen bescherming tegen 'brute force' De detectie van aanvallen via geautomatiseerde systemen die wachtwoorden en sleutels proberen te achterhalen, laat vaak te wensen over.
6. Directory-structuur is te achterhalen Het biedt een hacker kansen als hij kennis heeft van de opzet van een website.
7. Geen maatregelen tegen 'clickjacking' Nogal eens blijven maatregelen achterwege tegen het kapen van kliks door een kwaadaardige link via een transparante weblaag bovenop een legitieme link te plaatsen, om zo de bezoeker naar onbedoelde oorden te leiden.
8. Cookies worden niet als 'alleen HTTP' of 'veilig' gemarkeerd Ontwikkelaars laten nogal eens na cookies te beveiligen tegen onderschepping; dat biedt kansen om een sessie te kapen via een 'man in the middle'-aanval.
9. Problemen met de configuratie van de host Penetratietests tonen een reeks van problemen op dit gebied. Vooral slecht ingestelde firewalls en het laten uitlekken van het IP-adres van de gebruiker komen vaak voor.
10. Loslippigheid, met name bij bezoekersinformatie Reacties van applicaties of het 'wachtwoord-vergeten'-mechanisme geven vaak onbedoeld hints over de vorm van gebruikersnamen of wachtwoorden.

Voor zover hackers de zwakheden al niet kenden, biedt de inventarisatie van techUK ze natuurlijk een goede wegenkaart voor aanvallen op websites. Reden te meer om de eigen websites op deze punten de maat te nemen. Gelukkig laat techUK het niet bij een signalering van de problemen. Zijn publicatie Securing web applications and infrastructure bevat ook adviezen en verwijzingen naar vindplaatsen van informatie over oplossingen voor de gesignaleerde problemen.