De meeste webapplicaties die vorig jaar het doelwit van aanvallers waren werden voor de lol of vanuit een bepaalde ideologie aangevallen. Het gaat dan om aanvallen die misbruik van beveiligingslekken in de software maakten of waarbij aanvallers via gestolen of geraden wachtwoorden wisten in te loggen.

Dat beweert het Amerikaanse IT-bedrijf Verizon. "Webapplicaties zijn de spreekwoordelijke boksbal van het internet", aldus het bedrijf in een nieuw rapport waarin ruim 63.000 beveiligingsincidenten werden onderzocht en waarbij er in 1367 gevallen ook gegevens werden buitgemaakt. Aanvallen op webapplicaties waren bij elkaar goed voor bijna 4.000 beveiligingsincidenten, waarbij aanvallers in 490 gevallen ook daadwerkelijk data wisten te stelen.

Daarmee zijn aanvallen op webapplicaties de voornaamste categorie van incidenten die tot datalekken leiden. De aanvallen waren voornamelijk gericht tegen contentmanagementsystemen zoals WordPress, Drupal en Joomla, 65% van de aanvallen werd door activistische groepen voor de lol of vanuit een bepaalde ideologie gepleegd. 33% van de aanvallen was financieel gemotiveerd en slechts 2% kon aan digitale spionage worden toegeschreven.

Adviezen

Beheerders van webapplicaties krijgen het advies om hun software met meer dan alleen een enkel wachwoord te beveiligen, een geautomatiseerd patchproces voor het CMS in te stellen of anders op een statisch CMS framework over te stappen, de invoer van gebruikers te valideren, brute force-aanvallen te blokkeren door gebruikers niet eindeloos te laten inloggen en als laatste uitgaande verbindingen te controleren.