"Veel webapplicatie lekken niet zo ernstig"
Als het gaat om het testen van de beveiliging van webapplicaties zijn er drie kanten: die van het bedrijf, de resultaten van het vulnerability assessment en de waarheid. Of er nu een commerciele of open source scanner gebruikt wordt, ongetwijfeld vinden ze een berg aan informatie en beveiligingslekken.
Volgens Kevin Beaver zijn veel van de webapplicatie lekken die worden gevonden niet zo ernstig als ze lijken. "Ongeacht de marketing sprookjes of van tevoren opgestelde policies en rapporten, het bedrijfsnetwerk, behoeften en risico tolerantie bepalen wat echt belangrijk is bij het verwerken van een vulnerability assessment".
Waar het op neerkomt is dat zolang de webapplicatie testtool niet het lek misbruikt en de resultaten op een zilveren schaal aanbiedt, het bedrijf zelf de resultaten moet doorlopen om te zien of het gevonden probleem ook daadwerkelijk een probleem is.
In dit artikel beschrijft Beaver verschillende beveiligingsproblemen die scanners vaak aantreffen, maar uiteindelijk niet zoveel voorstellen. Zoals SQL injectie waarbij achter de schermen de input wel gevalideerd wordt. Aanwezigheid van een .old bestand dat uiteindelijk geen waardevolle informatie bevatte en een lekke Apache Web server die zou draaien maar helemaal niet geinstalleerd was.
Niet blindgaan op de resultaten van een scanner en zelf een beetje onderzoek doen voorkomt een hoop ellende en zorgt uiteindelijk voor minder werk.
Immers, je auto loopt ook wel eens een krasje op en dan laat
je het ook niet meteen opnieuw schilderen.
M.a.w. als je niet meteen verlies van data lijdt of gevaar
loopt andere systemen gecompromiseerd te zien doordat een
exploit ook misbruikt wordt, dan kun je het laten zitten. Ik
zeg 'kun', niet dat je het zou moeten laten zitten.
Maar soms moet je serieus een kosten / baten analyse maken
om te zien hoeveel winst je behaalt met het dichten van een lek.
Als je auto er niet minder veilig op wordt door een krasje
of een deukje (van buiten zie je dat meestal niet zo goed),
dan kun je blijven rijden. Dat het dan minder veilig is, of
minder mooi voor de esthetici is iets anders. Want als het
je teveel kost terwijl je heel weinig risico loopt, dan zou
ik het laten zitten.
Dan kun je zeggen, dat is vragen om exploitatie. Dat is niet
helemaal waar. Ik denk dat verzekeringsmaatschappijen je
precies kunnen uitleggen waarom iets een groot of een klein
risico is. Dat zou ook moeten gelden voor bepaalde soort lekken.
- Unomi -
beveiligingsprobleem een “niet lineair†probleem is. Anders
gezegd het geheel is meer dan de som der delen. Een
beveiligingsfout kan op zichzelfstaand bekeken niet ernstig
zijn. Echter een combinatie van twee niet zo ernstige fouten
kan dat wel weer zijn. Dit is iets dat geregeld voorkomt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.