80% websites is lek

Tachtig procent van de websites heeft de beveiliging niet op orde, waardoor aanvallers toegang tot allerlei vertrouwelijke gegevens kunnen krijgen. Softwarebedrijf Veracode analyseerde een kleine 10.000 webapplicaties. Bij 68% werd cross-site scripting (XSS) aangetroffen, terwijl één op de drie met SQL Injection te maken had. “XSS en SQL Injection zijn twee van de meest gebruikte kwetsbaarheden, en bieden toegang tot klantgegevens en intellectueel eigendom”, aldus Veracode (bron).

Het mag dan een Amerikaans onderzoek zijn en met name wat zeggen over Amerikaanse website en over de onafhankelijkheid kun je natuurlijk ook twisten. Pessimisten leggen dit soort nieuwsberichten naast zich neer en blijven denken: “dat gebeurt ons niet”.

Toch vraag ik me af of dat zo is. Je kunt dit soort signalen natuurlijk ook gebruiken om de beveiliging van je website binnen je organisatie bespreekbaar te maken. Als blijkt dat het met name XSS en SQL Injection betreft dan zouden we dat natuurlijk als hoge prio kunnen bestempelen.

Waarschijnlijk is je manager niet blij als je een aanvraag doet voor een uitgebreide vulnerabilityscan, het brengt immers kosten met zich mee maar men is ook onzeker over de uitkomsten. Nu kan men zich nog verschuilen onder het mom van onwetendheid. Als de scan resultaten op papier staan dan zullen we toch minimaal iets moeten doen met die punten die slecht scoorden.

Aan de andere kant wordt gesteld dat: De ontwikkelaars van deze webapplicaties wisten in meer dan tachtig procent de ontdekte problemen binnen een week op te lossen. Het zijn dus redelijk eenvoudige gaten die gedicht moeten worden.

Vergelijk het maar weer eens: de voordeur en het raam staan open. Als we die vanaf nu dicht doen dan zijn we al een stuk verder. Misschien wat simplistisch, maar zo gek is dat nu toch ook weer niet? Als we dus met name focussen op XSS en SQL Injection dan zijn we alweer een stap verder.

Nou ja, of de deur en het raam nu wel of niet open staan…een rondje rond je gebouw kan nooit kwaad. Kwetsbaar voor XSS en SQL Injection of niet? Een scan van je website kan nooit kwaad en hoe meer we afhankelijk zijn van onze website, hoe belangrijker dat wordt. En zo’n scan? Nou, dat hoeft echt de wereld niet te kosten, met eenvoudige middelen is dat relatief betaalbaar op te lossen. Benieuwd? Dan hoor ik wel van je.

Voeg toe aan je favorieten: Permalink.