Safeweb voorkomt hacking, exploits en datalekken

URL en POST Manipulatie

De URL (het webadres) van websites bevat vaak een zogenaamde querystring. Hierin staan een of meerdere variabelen met bijbehorende waardes. Bijvoorbeeld het id-nummer van de pagina waar men zich bevindt. Soms staan programmeurs er niet bij stil dat handmatig de querystring veranderen soms ertoe kan leiden dat gegevens in de programmatuur worden gewijzigd of informatie wordt opgevraagd die eigenlijk niet toegankelijk zou moeten zijn.

Een voorbeeld hiervan is het lekken van de jaarnota uit 2011. In de querystring stond het getal 2011. Door dit simpelweg te wijzigen in 2012, verscheen deze vroegtijdige jaarnota die nog niet gepresenteerd was. De programmeur had geen link op de website geplaatst naar de jaarnota uit 2012, maar door nauwkeurig naar de querystring te kijken, konden anderen simpel deze jaarnota tevoorschijn toveren en naar de media sturen.

Op soortgelijke wijze kunnen on onbeveiligede websites pagina's bekeken worden die nog niet gepubliceerd zijn, bestellingen op betaald worden gezet, prijzen van producten in de winkelwagen worden aangepast, etc.

Meestal zijn de consequenties van URL manipulatie beperkt. Toch is het slim om controles hierop uit te voeren.

Google-vriendelijke URL's

Tegenwoordig hebben veel websites Google-vriendelijke URL's. Dit zijn URL's waar de querystring juist verborgen is en vervangen is door een URL met keywords. SafeWeb is een voorbeeld hiervan (bekijk de URL van SafeWeb). Maar ook al is er geen querystring te zien, toch bevinden de variabelen zich in de URL. In de URL van deze pagina ziet u bijvoorbeeld het getal "23". Dit is het id-nummer van deze pagina en equivalent aan de querystring, wellicht gevoelig voor manipulatie. Dus ook al heeft een site niet daadwerkelijk een querystring, toch kan het gevoelig zijn voor manipulatie.

POST Manipulatie

Manipulatie met POST data komt ook veelvuldig voor. Dit is de data die (meestal) een formulier opstuurt, waaronder de invulvelden van het formulier. Deze gegevens ziet u nergens, maar ze worden via een POST verstuurd. De hacker kan makkelijk een nepformulier maken met andere waardes en deze versturen naar de website.

Angstwekkend hierbij is ook het feit dat er vaak velden in het formulier zijn die u niet ziet maar die wel informatie bevatten. De zogenaamde hidden inputs. Als u bijvoorbeeld een product plaatst in een winkelwagen, dan POST de website het product en het aantal naar de winkelwagen toe. Maar als de website slecht beveiligd is, wordt ook de prijs van het product meegepost. In dat geval kan de hacker de (sterk gereduceerde) prijs vanuit zijn eigen formulier posten. Met flinke korting belandt het product dan op de mat van de hacker.

Laat SafeWeb uw website controleren op (o.a.) URL manipulatie!

Vul het contat formulier in en wij zullen gauw een offerte terug sturen en uitleg geven hoe verder te gaan. Deze stap is geheel vrijblijvend.

contact formulier   ...   of bel: 013 - 750 140 2

Terug naar pagina 'hacktechnieken'