Slik fikser du enkelt websårbarheter

14-11-2018

Webapplikasjoner kan ha mange sårbarhetsområder. Her får du bedre oversikt over disse og tips om hvordan du kan sjekke tilstanden. Du får dessuten det beste rådet en sikkerhetsrådgiver kan gi. Kontakt våre sikkerhetsrådgivere her.

Det er neppe noe nytt for deg: Alle typer webapplikasjoner kan ha sårbarheter, enten de er knyttet til et stort kjernesystem eller et enkelt nettsted i standard CMS-løsning.

Hold deg oppdatert! Legg igjen din epost og få informasjon om nye blogginnlegg, webinarer og eventer direkte i din innboks!

Søk etter feil og fiks dem dypt

Mange applikasjoner blir dessuten videreutviklet over langt tid, med bidrag fra forskjellige miljøer og mennesker. Har du skrevet kode selv, vet du at målet som regel er å få fikset noe eller få noe nytt til å virke. Når alt fungerer som det skal etter mye arbeid og hodebry, kan det lett bli til at man ser mellom fingrene med sikkerheten og lanserer som ting er.

– Den største sikkerhetsfeilen av alle er å ikke søke etter sårbarheter. Det nest største er å kjenne til sårbarheter og ikke gjøre noe med dem. Dette er vanligere enn man skulle tro. Typisk blir store sikkerhetshull grepet fatt i, mens mindre hull blir stående åpne. Mange må huller blir til sammen et stort et, sier Linus Särud, Security Researcher i Detectify.

btn-top

Sikkerhet integrert i kultur og utvikling

Så hva er sikkerhetsrådet fremfor noe annet? Gjør sikkerhet til en integrert del av utviklingskulturen og -arbeidet. Dette kan være utfordrende fordi sikkerhet nokså typisk kommer på toppen av alt annet og derfor kan være vanskelig å prioritere.

– Når man går i gang med nye webapplikasjoner, har man en unik mulighet til å integrere sikkerhet som element fra bunnen av. Det gjelder ikke minst for devops-utviklingsløp hvor alle involverte fra utvikling til drift bruker samme plattform, sier han.

Få er forunt luksusen å kunne start opp helt fra nytt med blanke ark og fargestifter. De fleste utviklere beveger seg i eksisterende, mer eller mindre uoversiktlige systemer som er satt sammen av mange forskjellige applikasjoner. – Her må man analysere sårbarheter, fikse feil og innarbeide sikkerhet i eksisterende kultur og applikasjoner. Det er viktig nok å fikse enkeltting, men helt nødvendig å gå dypere inn i strukturene for å beskytte mot fremtidige trusler.

Hva er det vanligste sårbarhetene på web? Når systemleverandører patcher sikkerhetshuller, vil hackere bare jakte videre på nye. Derfor er sikkerhetsfeltet av natur under kontinuerlig utvikling.

Her er fire tilnærminger som du bør vie oppmerksomhet her og nå.

btn-top

OWASP Top 10 anno 2017

The Open Web Application Security Project (OWASP) er en verdensomspennende non-profit-organisasjon som jobber for å forbedre sikkerhet i applikasjoner. Gjennom “top 10”-rangeringer ønsker OWASP å synliggjøre sårbarhetsområder. Basefarm-partner Detectify har utviklet denne OWASP Top 10-listen over sårbarhetene og en skanner som lar deg teste nettstedet ditt.

btn-top

Vanlige e-commerce sikkerhetshull

Angripere kan avspore forespørsler på sin vei fra handlekurven til server og valutaomregning. Ved for eksempel å gjøre om konverteringen fra USD til WON kan verdien av ordren bli redusert til en tusendel. For noen år siden lykkes mange avbruddssvindelforsøk med å endre selve prisen, men dette fungerer sjeldent nå.

Overføring av midler mellom gavekort tilhører sårbarhetsklassen “race condition”. Dette ble testet med suksess på et Starbucks gavekort hvor det var mulig å foreta flere USD 5-overføringer fra ett kort med USD 5 til to andre kort.

Gavekort med ID-er i serie gjør det enkelt å gjette seg til og bruke gavekortnumre. Et annet triks er å gjette seg til kupongkoder. Hvis du vet at “superBillig10” gir deg 10 prosent rabatt, vil kanskje “SuperBillig50” gi 50 prosent?

LES DETECTIFY-BLOGGEN OM TOTALT 7 VANLIGE E-COMMERCE FEIL

btn-top

Implementere HTTPS riktig

HTTPS er et av de enkleste sikkerhetstiltakene å implementere. Pussig nok kjørte mange programmer sårbare HTTP inntil Google prioriterte HTTPS-nettsteder i søkeresultatene. Dette –ikke sikkerhetsproblemer – styrket bruken av HTTPS.

Detectify automatiserte 1000+ sikkerhetstester

Detectify har utviklet en fullautomatisert sårbarhetsskanner for nettsteder som kan identifisere 1000 + sårbarheter og blir kontinuerlig oppdatert av et fellesskap på med enn 150+ white hat-hackere.

btn-top

Ønsker du mer informasjon om IT-sikkerhet?

Fyll ut feltene, en av våre spesialister vil kontakte deg fortløpende:

btn-top