Aantal CSRF-aanvallen in 2013 verdubbeld
Cross-site Scripting (XSS) is nog altijd de meest voorkomende probleem op internet, maar het aantal aanvallen via Cross-Site Request Forgery (CSRF) kende in de eerste drie maanden van dit jaar een verdubbeling. Hostingprovider Firehost zegt dat het in het eerste kwartaal ruim 15 miljoen aanvallen van 1 miljoen verschillende aanvallers zag voorbijkomen.
In 36% van de gevallen ging het om Cross-site Scripting. Hierbij is het voor een aanvaller bijvoorbeeld mogelijk om toegang tot de online accounts van internetgebruikers te krijgen. Het aantal aanvallen via deze techniek nam met vier procent af ten opzichte van het eerste kwartaal van 2012.
De grootste daling was bij Directory Traversal zichtbaar. Dit is een techniek waardoor een aanvaller toegang tot bestanden en mappen kan krijgen waar hij eigenlijk geen toegang toe hoort te hebben. Het aantal aanvallen daalde van 38% in 2012 naar 26% in het eerste kwartaal van dit jaar.
Automatisering
Cross-site Request Forgery, een techniek waardoor websites opdrachten aan het systeem van de gebruiker geven om in zijn naam acties uit te voeren, kende de grootste stijging. Het aantal aanvallen via deze techniek verdubbelde van 12% in 2012 naar 23% nu. Ook SQL Injectie, waarbij aanvallers toegang tot de database van een website kunnen krijgen, groeide met 5% naar 15%.
Volgens Firehost was het te verwachten dat het aantal CSRF-aanvallen zou toenemen, aangezien cybercriminelen over steeds meer tools beschikken die dit soort aanvallen automatiseren. "XSS- en XSRF-aanvallen zijn extreem geautomatiseerd en vereisen weinig kennis om toe te passen", zegt security engineer Chris Hinkley.
In mijn optiek is dit niet de enige oorzaak. Doordat er steeds meer gebruik gemaakt wordt van SSO-oplossingen (Single Sign On) Worden CSRF aanvallen steeds interessanter.
Eerder moest een aanvaller hopen dat het doelwit ingelogd was op de doel applicatie en door SSO is de gebruiker inprincipe altijd ingelogd in de applicaties die onderdeel vormen van de SSO-oplossing. Één van de redenen om SSO te zien als extra beveiligingsrisico in plaats van dat het risico's beperkt zoals sommige "specialisten" zeggen .....
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.