Overslaan en naar de inhoud gaan
Achtergrond PRO
10 augustus 2007 leestijd 2 minuten 0 reacties

‘Web 2.0’ vervalt in bekende beveiligingsfouten

Las Vegas was vorige week het walhalla van de hackers en de beveiligers. Duizenden bezochten er de steeds groter wordende conferenties Black Hat en (het niet-gesponsorde) Defcon. De groei is verklaarbaar; software vertoont steeds meer beveiligingslekken. Met name webapplicaties, waarin de verdeling tussen server- en clientactiviteit steeds op een andere manier gebeurt, geven aanleiding tot zorg.
Freek Blankena
Freek BlankenaMeer van deze auteur
Carriere
Shutterstock
Shutterstock


Ajax (Asynchronous JavaScript and XML) heeft programmeurs vele nieuwe mogelijkheden opgeleverd om taken van de client-computer naar de webserver te verplaatsen. Dat dat zelfs bij gerenommeerde toepassingen niet altijd op de juiste manier gebeurt, bleek uit een demonstratie van beveiligingsbedrijf Errata Security. Tot schrik van velen bleek het simpel om een sessie-cookie uit de lucht te pikken van iemand die op dat moment via WiFi in zijn niet-versleutelde GMail-account inlogde. Zonder een wachtwoord in te voeren kon de inbox van de ongelukkige even op het scherm worden getoond.

Neutraliseren
Veel vergelijkbare web-toepassingen blijken hun sessie-cookies niet te neutraliseren (terwijl de noodzaak daarvan alom bekend is), waardoor een eenmaal opgepikt cookie maanden later alsnog misbruikt kan worden om hetzelfde Hotmail- of Facebook-account te kraken.
‘Social-networking’-sites als MySpace en Facebook blijken ook kwetsbaar voor ‘cross-site scripting’, een bekende manier om kwaadaardige code op gebruikers-pc’s te installeren. Hacker Rick ­Deacon wijst zelfs op een lek dat ondanks zijn aandringen nog steeds niet was gedicht door MySpace – wat vlak na zijn betoog overigens wel gebeurde.
Dat doorsneeprogrammeurs waarschijnlijk nog makkelijker dergelijke fouten maken dan de grote sitebouwers zelf, werd geïllustreerd door twee onderzoekers van SPI Dynamics (dat onlangs is overgenomen door HP). Ze bouwden een eigen nep-website waar reizen worden aangeboden: hackertravel.com. Daarbij gedroegen ze zich als gewone programmeurs die hun kennis haalden uit gangbare Ajax-boeken en bestaande websites.
Het bleek niet moeilijk de webtoepassing te kraken en bijvoorbeeld tickets voor een dollar te kopen en alle stoelen in een vliegtuig als ‘bezet’ te markeren. Dat konden de SPI-mensen doen door simpelweg de JavaScript-code aan de client-kant te manipuleren. Het verplaatsen van logica van de server naar de browser is wellicht verlokkelijk uit schaalbaarheidsoverwegingen, maar creëert meteen een enorm beveiligingslek, luidt het betoog. De geheime aspecten van een webapplicatie dienen op de server opgeslagen te blijven – en dat zouden de handboeken ook moeten vermelden.

Tegen de lamp
Leveranciers komen uiteraard te hulp. Websense presenteerde zijn software HoneyJax (een samentrekking van honeypot en Ajax). Op verschillende wijzen laat deze software de aanvallers van ‘Web 2.0’-sites tegen de lamp lopen, belooft het bedrijf. HoneyJax imiteert daarbij intensief het gedrag van een reguliere, kwetsbare gebruiker van sites als MySpace, in de hoop aanvallen te kunnen openbaren voordat ze werkelijk schade kunnen aanrichten.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in