Wat is het NIST Cybersecurity Framework?
Het online opslaan van informatie is de norm geworden. Meer organisaties slepen dit deel om relevant te blijven in dit tijdperk van interconnectiviteit.
Cross-Site Request Forgery (CSRF) is een van de oudste manieren om de kwetsbaarheden van een website te misbruiken. Het is gericht op webswitches aan de serverzijde die meestal authenticatie vereisen, zoals inloggen. Tijdens een CSRF-aanval probeert een aanvaller zijn slachtoffer te dwingen namens hen een ongeautoriseerd, kwaadaardig webverzoek te doen.
Zwakke of slechte praktijken op het gebied van websitebeveiliging en onvoorzichtigheid op het pad van de gebruiker zijn enkele van de meest voorkomende oorzaken van een succesvolle CSRF-aanval.
Laten we eens kijken naar wat een CSRF-aanval is en de mogelijke manieren waarop u uzelf als ontwikkelaar of als gebruiker kunt voorkomen.
Een CSRF is een aanval die wordt gebruikt om ongeautoriseerde verzoeken uit te voeren tijdens webacties waarvoor gebruikersaanmelding of authenticatie is vereist. CSRF-aanvallen kunnen profiteren van sessie-ID's, cookies en andere servergebaseerde kwetsbaarheden om de inloggegevens van een gebruiker te stelen.
Door bijvoorbeeld anti-CSRF-procedures in te schakelen, worden kwaadaardige interacties tussen domeinen voorkomen.
Zodra die barrière doorbreekt, kan een aanvaller snel profiteren van de sessie-ID van de gebruiker via de cookies die door de browser van de gebruiker zijn gemaakt en een scripttag in de kwetsbare website insluiten.
Door een ID te manipuleren, kan de aanvaller bezoekers ook omleiden naar een andere webpagina of gebruikmaken van social engineering-methoden zoals e-mail om links te verzenden, waardoor het slachtoffer wordt aangemoedigd om schadelijke software te downloaden.
Zodra het slachtoffer dergelijke acties uitvoert, stuurt het een HTTP-verzoek naar de servicepagina van de gebruiker en autoriseert het de verzoekactie in het voordeel van de aanvaller. Dat kan verwoestend zijn voor een nietsvermoedende gebruiker.
Een succesvolle CSRF-aanval kan ertoe leiden dat geautoriseerde gebruikers hun toegangsgegevens kwijtraken aan een aanvaller, vooral tijdens servergebaseerde acties zoals verzoeken om wachtwoord of gebruikersnaam te wijzigen. In slechtere scenario's neemt de aanvaller de hele sessie over en treedt op namens de gebruikers.
CSRF is gebruikt om over-the-web fondstransacties te kapen en om gebruikersnamen en wachtwoorden te wijzigen, waardoor gebruikers de toegang tot de betreffende service verliezen.
De belangrijkste doelen voor CSRF-aanvallen zijn webacties waarbij de authenticatie van een gebruiker betrokken is. Om succesvol te zijn, heeft het onbedoelde acties van het slachtoffer nodig.
Tijdens een CSRF-aanval zijn GET-, DELETE- en PUT-acties, evenals kwetsbare POST-verzoeken, de belangrijkste doelen van een aanvaller.
Laten we eens kijken naar de betekenis van die termen:
In de praktijk gebruiken aanvallers sessiekaping als back-up van een CSRF-aanval. Bij gebruik van deze combinatie kan de aanvaller een kaping gebruiken om het IP-adres van het slachtoffer te wijzigen.
De wijziging in het IP-adres logt het slachtoffer vervolgens in op een nieuwe website waar de aanvaller een bedrieglijke link heeft geplaatst die een gerepliceerd formulier of gewijzigd serververzoek indient dat ze via CSRF hebben gemaakt.
Een nietsvermoedende gebruiker denkt dan dat de omleiding afkomstig is van de serviceprovider en klikt op de link op de webpagina van de aanvaller. Zodra ze dit hebben gedaan, dienen hackers zonder hun medeweten een formulier in bij het laden van de pagina.
Stelt u zich eens voor dat u probeert een online betaling uit te voeren via een onbeveiligd e-commerceplatform. De platformeigenaren gebruiken het GET-verzoek om uw transactie te verwerken. Die GET-query kan er als volgt uitzien:
https://websiteurl/pay?amount=$10&company=[company ABC's account]
Een kaper kan uw transactie gemakkelijk stelen door de parameters van het GET-verzoek te wijzigen. Om dit te doen, hoeven ze alleen maar uw naam te ruilen voor die van hen, en erger nog, het bedrag dat u van plan bent te betalen te wijzigen. Vervolgens tweaken ze de oorspronkelijke query naar iets als dit:
https://websiteurl/pay?amount=$20000&company=[attacker's account]
Zodra u op een link naar dat gewijzigde GET-verzoek klikt, maakt u uiteindelijk een onbedoelde overdracht naar het account van de aanvaller.
Transacties uitvoeren via GET-verzoeken is een slechte gewoonte en maakt activiteiten kwetsbaar voor aanvallen.
Veel ontwikkelaars zijn echter van mening dat het gebruik van POST-verzoeken veiliger is voor het uitvoeren van webtransacties. Hoewel dat waar is, is een POST-verzoek helaas ook vatbaar voor CSRF-aanvallen.
Om een POST-verzoek met succes te kapen, heeft een aanvaller alleen uw huidige sessie-ID, enkele gerepliceerde onzichtbare formulieren en soms een beetje social engineering nodig.
Een POST-aanvraagformulier kan er bijvoorbeeld als volgt uitzien:
Een aanvaller kan uw inloggegevens echter omwisselen door een nieuwe pagina te maken en het bovenstaande formulier hierin aan te passen:
In het gemanipuleerde formulier stelt de aanvaller de waarde van het bedragveld in op "30000", wisselt het rekeningnummer van de ontvanger naar dat van hen, verzendt het formulier bij het laden van de pagina en verbergt ook de formuliervelden voor de gebruiker.
Zodra ze die huidige sessie hebben gekaapt, initieert uw transactiepagina een omleiding naar de pagina van de aanvaller, die u vraagt op een link te klikken waarvan zij weten dat u deze waarschijnlijk zult bezoeken.
Als u hierop klikt, wordt de indiening van het gerepliceerde formulier geladen, waarmee uw geld wordt overgemaakt naar de account van de aanvaller. Dat betekent dat u niet op knoppen zoals "verzenden" hoeft te klikken om de transactie te laten plaatsvinden, aangezien JavaScript dit automatisch doet bij het laden van de volgende webpagina.
Als alternatief kan een aanvaller ook een in HTML ingesloten e-mail opstellen waarin u wordt gevraagd op een koppeling te klikken om hetzelfde formulier voor het laden van de pagina uit te voeren.
Een andere actie die kwetsbaar is voor een CSRF-aanval is een gebruikersnaam- of wachtwoordwijziging, een voorbeeld van een PUT-verzoek. Een aanvaller repliceert uw aanvraagformulier en vervangt uw e-mailadres door dat van hen.
Vervolgens stelen ze uw sessie en leiden u naar een pagina of sturen u een e-mail waarin u wordt gevraagd op een aantrekkelijke link te klikken.
Dat verzendt vervolgens een gemanipuleerd formulier dat de link voor het opnieuw instellen van het wachtwoord naar het e-mailadres van de hacker stuurt in plaats van dat van jou. Op die manier wijzigt de hacker uw wachtwoord en logt hij u uit van uw account.
Een van de beste methoden om een CSRF te voorkomen, is het gebruik van tokens die regelmatig veranderen in plaats van afhankelijk te zijn van sessiecookies voor het uitvoeren van een statuswijziging op de server.
Gerelateerd: Gratis handleidingen om digitale beveiliging te begrijpen en uw privacy te beschermen
Veel moderne backend-frameworks bieden beveiliging tegen CSRF. Dus als u de technische details van het versterken van CSRF zelf wilt vermijden, kunt u dit eenvoudig aanpakken door server-side frameworks te gebruiken die worden geleverd met ingebouwde anti-CSRF-tokens.
Wanneer u een anti-CSRF-token gebruikt, genereren servergebaseerde verzoeken willekeurige tekenreeksen in plaats van de meer statische kwetsbare sessiecookies. Op die manier kunt u uw sessie beschermen tegen geraden worden door de kaper.
Het implementeren van een two-factor authenticatie (2FA)-systeem voor het uitvoeren van transacties op uw web-app verkleint ook de kans op een CSRF.
Het is mogelijk om een CSRF te starten via cross-site scripting (XSS), waarbij scripts worden geïnjecteerd in gebruikersvelden zoals commentaarformulieren. Om dit te voorkomen, is het een goede gewoonte om HTML auto-escape in te schakelen in alle velden van het gebruikersformulier op uw website. Die actie voorkomt dat formuliervelden HTML-elementen interpreteren.
Als gebruiker van een webservice die authenticatie omvat, moet u een rol spelen om te voorkomen dat aanvallers uw inloggegevens en sessies ook via CSRF stelen.
Zorg ervoor dat u vertrouwde webservices gebruikt tijdens activiteiten waarbij geld wordt overgemaakt.
Gebruik daarnaast veilige webbrowsers die gebruikers beschermen tegen blootstelling aan sessies, evenals beveiligde zoekmachines die beschermen tegen lekken van zoekgegevens.
Gerelateerd: Beste privézoekmachines die uw gegevens respecteren
Als gebruiker kunt u ook vertrouwen op authenticatiemiddelen van derden, zoals Google Authenticator of zijn alternatieven voor het verifiëren van uw identiteit via internet.
Hoewel u zich misschien hulpeloos voelt om te voorkomen dat een aanvaller uw sessie kapt, kunt u dit toch helpen voorkomen door ervoor te zorgen dat uw browser geen informatie opslaat zoals wachtwoorden en andere inloggegevens.
Ontwikkelaars moeten web-apps regelmatig testen op beveiligingsinbreuken tijdens ontwikkeling en implementatie.
Het is echter gebruikelijk om andere kwetsbaarheden te introduceren terwijl u andere probeert te voorkomen. Zorg er dus voor dat u geen andere beveiligingsparameters hebt geschonden terwijl u een CSRF probeert te blokkeren.
Het online opslaan van informatie is de norm geworden. Meer organisaties slepen dit deel om relevant te blijven in dit tijdperk van interconnectiviteit.
Als je wilt investeren in een VPN, zijn NordVPN en ExpressVPN voor de hand liggende opties. Beide bieden hoge snelheden en beide hebben een lange geschiedenis van positieve klantrecensies.
Een woord dat de laatste tijd veel opduikt, is homomorfe encryptie. Veel bedrijven en online diensten schakelen hun coderingsmodel om naar een soort homomorfe codering, waarbij ze adverteren dat het voor betere gebruikersprivacy en veiligheid is.
Een wachtwoordbeheerder is een geweldige manier om om te gaan met de overvloed aan inloggegevens waar we allemaal mee te maken hebben als onderdeel van het moderne internetleven.
Bij het opzetten van een nieuw beveiligingssysteem moet je ervoor zorgen dat het goed werkt met zo min mogelijk kwetsbaarheden. Als het gaat om digitale activa ter waarde van duizenden dollars, kunt u het zich niet veroorloven om van uw fouten te leren en alleen gaten in uw beveiliging op te vullen die hackers eerder hebben uitgebuit.
ZenMate VPN is een populaire keuze onder gebruikers, die adverteert met een no-logging-beleid en extra functionaliteit via browserextensies. Als je wilt weten of het je tijd waard is, lees dan verder voor de volledige ZenMate VPN-recensie om ons oordeel te zien.
Malware-aanvallen nemen toe en worden de laatste tijd geavanceerder. Organisaties staan voor de uitdaging om hun IT-netwerken voortdurend te beschermen tegen cyberdreigingen.
In augustus 2021 werd een fusie aangekondigd tussen NortonLifeLock en Avast.
Hackincidenten domineren altijd het nieuws, en terecht. Ze zijn het bewijs dat niemand veilig is, vooral wanneer het slachtoffer een groot bedrijf is met een geavanceerd cyberbeveiligingssysteem. Een hack die een substantiële impact had op het cybersecuritylandschap, was de SolarWinds-hack.
Op virtualisatie gebaseerde beveiliging is al jaren een functie op Windows 10. Het vloog voor veel mensen onder de radar omdat Microsoft het niet handhaafde; dit gaat echter veranderen met Windows 11.
WireGuard is een relatief nieuw VPN-protocol dat uw online activiteiten beschermt met behulp van de modernste cryptografie. Het is bedoeld om meer privacy, snellere verbindingssnelheden te bieden en meer stroom te besparen dan bestaande protocollen.
Iedereen lijkt uw persoonlijke gegevens te willen. Altijd met de bedoeling om u iets te verkopen, klauteren bedrijven om u ertoe te brengen hun producten te bekijken. Maar met het internet vol met een oneindige stroom aan opties, is het bieden van een één-op-één klantervaring de enige manier om ze te onderscheiden.
Op 11 oktober 2021 kondigde Microsoft aan dat het eind augustus terloops een enorme 2,4 Tbps DDoS op zijn Azure-service afweerde, met nauwelijks downtime voor zijn miljoenen gebruikers wereldwijd.
Bij het kiezen van de juiste internetverbinding en het juiste beveiligingsprotocol kunnen veel factoren uw beslissing beïnvloeden, van hoe gemakkelijk en handig het is om te implementeren, hoe veilig het uw gegevens bewaart en de algehele verbindingssnelheid.
Apple wil de manier waarop u op internet surft op uw iPhone veranderen met de nieuwe iOS 15-software-update. Je iPhone kan nu je IP-adres maskeren en volledige anonimiteit garanderen met een functie genaamd Private Relay. Dus als u alleen voor veilig browsen voor een VPN betaalt, kunt u uw abonnement nu opzeggen.
Als u een van de 1,6 miljard WhatsApp-gebruikers bent, gebruikt u al end-to-end-codering (E2EE). Deze veilige vorm van communicatie betekent dat elk bericht dat u naar iemand verzendt alleen kan worden gelezen door de ontvanger --- dergelijke chatberichten kunnen niet worden onderschept door derden, inclusief overheden en criminelen.
Zowel LastPass als Bitwarden zijn uitstekende wachtwoordmanagers op het gebied van beveiliging, functies en abonnementen. Als u echter tussen de twee zou moeten kiezen, welke zou dan als beste uitkomen?
Back-upcodes bieden een gemakkelijke manier om weer toegang te krijgen tot uw Google-account. Ze fungeren als de laatste verdedigingslinie om u weer aan te melden bij uw Google-account als u uw telefoon bent kwijtgeraakt, geen berichten van Google kunt ontvangen of geen code van de Google Authenticator-app kunt krijgen.
Barcodes zijn een van de beste manieren om gegevens op een fysiek oppervlak te delen. Het enige wat een geïnteresseerde hoeft te doen, is de code rechtstreeks op zijn smartphone scannen om toegang te krijgen tot een website of app.
Shopify, een betaalbaar e-commerceplatform dat door kleine bedrijven wordt gebruikt om producten online te verkopen, lijkt een broedplaats te zijn voor oplichters en frauduleuze winkels.
Het online opslaan van informatie is de norm geworden. Meer organisaties slepen dit deel om relevant te blijven in dit tijdperk van interconnectiviteit.
Als je wilt investeren in een VPN, zijn NordVPN en ExpressVPN voor de hand liggende opties. Beide bieden hoge snelheden en beide hebben een lange geschiedenis van positieve klantrecensies.
Een wachtwoordbeheerder is een geweldige manier om om te gaan met de overvloed aan inloggegevens waar we allemaal mee te maken hebben als onderdeel van het moderne internetleven.
Bij het opzetten van een nieuw beveiligingssysteem moet je ervoor zorgen dat het goed werkt met zo min mogelijk kwetsbaarheden. Als het gaat om digitale activa ter waarde van duizenden dollars, kunt u het zich niet veroorloven om van uw fouten te leren en alleen gaten in uw beveiliging op te vullen die hackers eerder hebben uitgebuit.
ZenMate VPN is een populaire keuze onder gebruikers, die adverteert met een no-logging-beleid en extra functionaliteit via browserextensies. Als je wilt weten of het je tijd waard is, lees dan verder voor de volledige ZenMate VPN-recensie om ons oordeel te zien.
Malware-aanvallen nemen toe en worden de laatste tijd geavanceerder. Organisaties staan voor de uitdaging om hun IT-netwerken voortdurend te beschermen tegen cyberdreigingen.
De app voor het delen van video's TikTok is een fenomeen. Sinds de oprichting in 2017 heeft het sociale netwerk bijna 90 miljoen actieve gebruikers in de VS en is de app naar schatting twee miljard keer gedownload.
In augustus 2021 werd een fusie aangekondigd tussen NortonLifeLock en Avast.
Hackincidenten domineren altijd het nieuws, en terecht. Ze zijn het bewijs dat niemand veilig is, vooral wanneer het slachtoffer een groot bedrijf is met een geavanceerd cyberbeveiligingssysteem. Een hack die een substantiële impact had op het cybersecuritylandschap, was de SolarWinds-hack.
WireGuard is een relatief nieuw VPN-protocol dat uw online activiteiten beschermt met behulp van de modernste cryptografie. Het is bedoeld om meer privacy, snellere verbindingssnelheden te bieden en meer stroom te besparen dan bestaande protocollen.