Det er neppe noe nytt for deg: Alle typer webapplikasjoner kan ha sårbarheter, enten de er knyttet til et stort kjernesystem eller et enkelt nettsted i en standard CMS-løsning.
SØK ETTER FEIL OG FIKS DEM I DYBDEN
Mange applikasjoner blir dessuten videreutviklet over lang tid med bidrag fra forskjellige miljøer og personer. Har du skrevet kode selv, vet du at målet som regel er å få fikset noe eller få noe nytt til å virke. Når alt fungerer som det skal etter mye arbeid og hodebry, kan det lett bli til at man ser mellom fingrene med sikkerheten og lanserer ting som de er.
– Den største sikkerhetsfeilen av alle er å ikke søke etter sårbarheter. Den nest største er å kjenne til sårbarheter og ikke gjøre noe med dem. Dette er vanligere enn man skulle tro. Typisk blir store sikkerhetshull grepet fatt i, mens mindre hull blir stående åpne. Mange må hull blir til sammen et stort et, sier Linus Särud, Security Researcher i Detectify.
SIKKERHET INTEGRERT I KULTUREN OG UTVIKLINGEN
Så hva er sikkerhetsrådet fremfor noe annet? Gjør sikkerhet til en integrert del av utviklingskulturen og -arbeidet. Dette kan være utfordrende fordi sikkerhet nokså typisk kommer på toppen av alt annet og derfor kan være vanskelig å prioritere.
– Når man går i gang med nye webapplikasjoner, har man en unik mulighet til å integrere sikkerhet som et element fra bunnen av. Det gjelder ikke minst for DevOps-utviklingsløp der alle involverte, fra utvikling til drift, bruker samme plattform, sier han.
Få er forunt den luksusen det er å starte opp helt på nytt med blanke ark og fargestifter til. De fleste utviklere beveger seg i eksisterende, mer eller mindre uoversiktlige systemer som er satt sammen av mange forskjellige applikasjoner. – Her må man analysere sårbarheter, fikse feil og innarbeide sikkerhet i eksisterende kultur og applikasjoner. Det er viktig nok å fikse enkeltting, men helt nødvendig å gå dypere inn i strukturene for å beskytte mot fremtidige trusler.
Hva er de vanligste sårbarhetene på web? Når systemleverandører patcher sikkerhetshull, vil hackerne jakte videre på nye. Sikkerhetsfeltet er derfor per definisjon i kontinuerlig utvikling.
HER ER FIRE TILNÆRMINGER DU BØR SE NÆRMERE PÅ HER OG NÅ:
OWASP TOP 10 2017
The Open Web Application Security Project (OWASP) er en verdensomspennende non-profit-organisasjon som jobber for å forbedre sikkerheten i applikasjoner. Med sine «10 på topp»-lister ønsker OWASP å synliggjøre viktige sårbarhetsområder. Basefarms samarbeidspartner Detectify har utviklet denne OWASP Top 10-listen over sårbarheter og en skanner du kan bruke til å teste nettstedet ditt.
VANLIGE SIKKERHETSHULL VED NETTHANDEL
Angriperne kan avspore forespørsler på vei fra handlekurven til serveren og valutaomregning. Ved for eksempel å gjøre om konverteringen fra USD til WON kan verdien av ordren bli redusert til en tusendel. For noen år siden lyktes mange avbruddssvindelforsøk med å endre selve prisen, men dette fungerer sjelden i dag.
Overføring av midler mellom gavekort tilhører sårbarhetsklassen «race condition». Dette ble testet på et Starbucks-gavekort der man lyktes med å overføre USD 5 flere ganger fra et kort med USD 5 til to andre kort.
Gavekort med ID-er i serie gjør det enkelt å gjette seg til og bruke gavekortnumre. Et annet triks er å gjette seg til kupongkoder. Hvis du vet at «superBillig10» gir 10 prosent rabatt, vil kanskje «SuperBillig50» gi 50 prosent?
LES DETECTIFY-BLOGGEN OM SJU VANLIGE E-COMMERCE FEIL
RIKTIG IMPLEMENTERING AV HTTPS
HTTPS er et av de enkleste sikkerhetstiltakene å implementere. Pussig nok kjørte mange programmer den sårbare HTTP inntil Google prioriterte HTTPS-nettsteder i søkeresultatene. Det var dette – og ikke sikkerhetsproblemer – som styrket bruken av HTTPS.
DETECTIFY HAR AUTOMATISERT OVER 1000 SIKKERHETSTESTER
Detectify har utviklet en helautomatisk sårbarhetsskanner for nettsteder som kan identifisere over 1000 sårbarheter. Skanneren oppdateres kontinuerlig av en gruppe bestående av mer enn 150 «white hat»-hackere.