Verdediging tegen veelvoorkomende aanvallen op webtoepassingen

Aanvallen op webapplicaties nemen toe en uit studies blijkt dat ze een van de grootste oorzaken zijn van datalekken. Bijna de helft (43%) van de 3.950 datalekken was volgens een rapport terug te voeren op aanvallen op webapplicaties, een aantal dat van 2019 tot 2020 is verdubbeld. [i] Omdat deze aanvallen steeds vaker voorkomen, is het belangrijk dat organisaties weten waar ze mee te maken hebben, hoe ze risico's kunnen beperken en hoe ze websites hiertegen kunnen beveiligen.

Wat is een webapplicatie?

Een webapplicatie is software die draait op een webserver en die toegankelijk is voor een gebruiker via een webbrowser met een actieve internetverbinding. Dit verschilt van lokale software-apps, die rechtstreeks op het apparaat van een gebruiker draaien. Webapplicaties zijn meestal eenvoudig te installeren door de gebruiker, en kunnen vaak worden aangepast aan de specificaties van een bedrijf. Voorbeelden van webtoepassingen zijn gehoste e-mail en messaging, contentmanagementsystemen en e-commercediensten.

Wanneer een gebruiker een webtoepassing opent, wordt via het internet een verzoek naar de webserver gestuurd. De webtoepassing bevraagt een inhoudsdatabank en genereert vervolgens inhoud volgens het verzoek van de cliënt (de machine van de gebruiker). De webtoepassingsserver stuurt de resultaten terug naar de webserver, die de scripts interpreteert en uitvoert en de gevraagde inhoud weergeeft op het beeldscherm van de gebruiker.

Waarom zijn webtoepassingen kwetsbaar voor aanvallen?

Webapplicaties kunnen om uiteenlopende redenen aan aanvallen worden blootgesteld, onder meer door systeemgebreken die het gevolg zijn van onjuiste codering, slecht geconfigureerde webservers, tekortkomingen in het applicatieontwerp of het niet valideren van formulieren. Door deze zwakheden en kwetsbaarheden kunnen aanvallers toegang krijgen tot databases die gevoelige informatie kunnen bevatten. Omdat webapplicaties altijd beschikbaar moeten zijn voor klanten, zijn ze een gemakkelijk doelwit voor aanvallers om uit te buiten.

Cloudcontainers, die toepassingssoftware verpakken met de elementen die nodig zijn om deze uit te voeren, zijn onlangs geïdentificeerd als bijzonder kwetsbaar wanneer ze niet goed zijn beveiligd of onveilige elementen bevatten.[ii] Het gebruik van open source code en het vertrouwen op application programming interfaces (API's) hebben de beveiligingsproblemen ook verergerd.[iii]

Veel voorkomende soorten aanvallen op webtoepassingen

Webapplicaties kunnen worden aangevallen via een groot aantal vectoren. Veel voorkomende webaanvallen zijn cross-site scripting, SQL-injectie, path traversal, local file inclusion en distributed denial of service (DDoS)-aanvallen.

• Cross-site scripting (XSS): Bij een XSS-aanval injecteert een aanvaller een stuk kwaadaardige code op een vertrouwde website of webgebaseerde app. Omdat de browser van de gebruiker denkt dat het script van een vertrouwde bron afkomstig is, zal deze het script uitvoeren. XSS-aanvallen kunnen worden gebruikt om gegevens te stelen of andere kwaadaardige handelingen uit te voeren op de computer van de bezoeker. Hoewel deze methode als ongeraffineerd wordt beschouwd, komt ze vaak voor en kan ze aanzienlijke schade aanrichten.
• SQL-injectie (SQLI): SQLI's doen zich voor wanneer een aanvaller zich bemoeit met de query's die een webapplicatie uitvoert op zijn database. Een SQL-injectie kan indringers in staat stellen gevoelige gegevens uit de database te halen. Een aanvaller kan deze gegevens wijzigen of verwijderen, of code injecteren die de inhoud of het gedrag van de webapplicatie kan wijzigen.
• Path traversal: Met deze aanval, ook bekend als directory traversal, kan de slechte actor paden naar mappen buiten de webhoofdmap manipuleren, die vervolgens kunnen worden gebruikt om toegang te krijgen tot bestanden, mappen en commando's van webtoepassingen.
• Local file inclusion: Bij deze techniek wordt de webtoepassing misleid om zijn bestanden op de webserver bloot te geven of uit te voeren. Deze aanvallen treden op wanneer de webapplicatie een kwaadaardige aanval behandelt als "vertrouwde invoer". Een aanvaller kan pad- of directorytraversal gebruiken om meer te weten te komen over de bestanden op de server, en vervolgens de webapp vragen het lokale bestand uit te voeren. Lokale insluiting van bestanden kan leiden tot openbaarmaking van informatie, XSS en uitvoering van code op afstand.
• DDoS-aanvallen: Deze aanvallen gebeuren wanneer een aanvaller een server bombardeert met webverzoeken. Aanvallers kunnen een netwerk van gecompromitteerde computers of bots gebruiken om deze aanval uit te voeren, die een server kan verlammen en kan voorkomen dat legitieme bezoekers toegang krijgen tot uw diensten.
• Cross-site request forgery (CSRF): CSRF's doen zich voor wanneer een aanvaller een eindgebruiker misleidt of dwingt om ongewenste acties uit te voeren op een applicatie waarbij hij al is geauthenticeerd. Dit kan worden uitgevoerd via een link via e-mail of chat en kan, indien succesvol, bijvoorbeeld leiden tot een overboeking van geld of een wijziging van het e-mailadres.
• XML external entity (XXE): Deze aanval berust op een onjuist geconfigureerde XML-parser binnen de code van een toepassing. Deze aanval kan leiden tot de onthulling van vertrouwelijke gegevens zoals wachtwoorden, denial of service, server-side request forgery en andere gevolgen voor het systeem.

Tips ter bescherming tegen website-aanvallen

Hoewel er een verscheidenheid aan aanvallen op webtoepassingen bestaat, zijn er ook processen, technologieën en methoden om zich daartegen te beschermen. Verschillende benaderingen van webapplicatiebeveiliging pakken verschillende kwetsbaarheden aan.

• Geautomatiseerde scanning van kwetsbaarheden en beveiligingstests helpen organisaties kwetsbaarheden en verkeerde configuraties te vinden, te analyseren en te beperken - hopelijk voordat de eigenlijke aanval plaatsvindt. Deze tests helpen organisaties bij het identificeren van zwakke punten in de beveiliging die moeten worden verholpen.
• Web application firewalls zijn hardware- en softwareoplossingen die bescherming bieden tegen bedreigingen voor de veiligheid van toepassingen door kwaadaardig verkeer te filteren, te bewaken en te blokkeren zodat het niet naar de webtoepassing kan reizen. Deze tools worden voortdurend bijgewerkt met nieuwe regels die zijn ontworpen om de nieuwste aanvals- en exploitatietechnieken af te vangen.
• Veilige ontwikkeling testen is een praktijk waarbij beveiligingsteams nadenken over de bedreigingen en aanvallen die van invloed kunnen zijn op een toepassing of product om deze zo veilig mogelijk te maken. Het testen van veilige ontwikkeling kan de nieuwste beveiligingsrisico's en aanvalsvectoren vroeg in de productlevenscyclus aan het licht brengen. Het helpt ook bij het ontwikkelen van effectieve benaderingen om aanvallen op websites te voorkomen en de gevolgen van inbreuken tot een minimum te beperken.

De kern van de zaak

Aanvallen op webtoepassingen kunnen verwoestende gebeurtenissen zijn voor organisaties. Daarom is het van cruciaal belang inzicht te hebben in de soorten aanvallen die kunnen plaatsvinden en in de beste manier om webtoepassingen te beveiligen. Met de juiste ontwikkel-, test- en beveiligingsprocessen en -programma's kunnen bedrijven de risico's beperken en hun webapplicaties beschermen tegen t

[i] "2020 Data Breach Investigation Report," Verizon

[ii] "96% van de containertoepassingen van derden die worden ingezet in cloudinfrastructuur bevatten bekende kwetsbaarheden," ZDNet

[iii] "The State of Application Security, 2021," Forrester