VisionEars wordt Mulberries Agency

Wij gaan vanaf 1 september verder onder de naam Mulberries Agency. Naast de vertrouwde service die je van ons gewend bent hebben we ons ook gespecialiseerd op het gebied van Marketing Automation en Experiment Marketing.

Bekijk hier de website van Mulberries Agency Sluit popup

Download je gratis ebook: Marketing automation - 6 systemen vergeleken

Zoek je naar software om meer leads te converteren? Download onze gratis ebook waarin wij de 6 meest gebruikte softwarepakketten met elkaar vergelijken!

Download je gratis ebook: Infograpic stappenplan

Voor een geslaagde infographic heb je meer nodig dan goede data en een mooi design. Het moet een verhaal vertellen dat aansluit bij de doelgroep. Download ons heldere stappenplan en ga voor die perfecte infographic.

Download je gratis ebook: 10 tips voor een optimale webshop homepagina

De homepagina van je webshop is enorm belangrijk, want het is de first impression die telt. Een geoptimaliseerde homepagina is belangrijk voor het succes van je webshop.

Gratis consult: snelheidsoptimalisatie

Een snelle(re) website draagt bij aan de gebruikerservaring en levert meer conversies en dus omzet op. Wij helpen je graag op weg!

Wie onderstaand formulier invult, ontvangt een uitnodiging van een gratis consult. Tijdens dit gesprek bekijken we de betreffende website(s) en bespreken we samen alle mogelijkheden en valkuilen.

Gratis consult: Webshop optimalisatie

Voor een geslaagde webshop heb je meer nodig dan mooi design. Een goede gebruikerservaring, technisch in orde en zoekmachine geoptimaliseerd. Neem contact op voor een GRATIS consult. Wij nemen je webshop onder de loep zodat jij precies weet waar je kansen liggen en nog meer rendement uit je webshop kan halen.

Download jouw gratis ebook
  • Blog

Uw website beveiligen tegen hackers, session security (deel 5)
31
Mei 2012
Web development

Uw website beveiligen tegen hackers, session security (deel 5)

31 mei 2012 | Kevin | Web development

Wanneer je data van een gebruiker wilt bewaren en op meerdere pagina’s wilt gebruiken, bijvoorbeeld of de gebruiker is ingelogd of niet, is het verstandig hier sessies voor te gebruiken. Sessies zijn een relatief veilige manier om deze data op te slaan omdat de data op de webserver wordt bewaard, terwijl op de computer van de bezoeker alleen een “id” wordt bewaard, waarmee de bezoeker aan de data op de server wordt “gekoppeld”. Dit “session id” wordt normaal gesproken in een Cookie, genaamd PHPSESSID, op de pc van de gebruiker opgeslagen. Hier ligt echter ook een zwakheid waar bij het gebruik van sessies rekening mee moet worden gehouden.

Wat is session fixation?

Een van de technieken waarmee hackers sessie kunnen gebruiken om een site te hacken heet “session fixation”. Deze techniek houd eigenlijk exact in wat de naam zegt. hieronder zullen we het principe uitleggen.

Sessie id’s kunnen behalve via cookies ook in de query string (de url) worden gedefinieerd. Wanneer een hacker de volgende link op bijv. een forum zou plaatsen:

Klik hier

en een bezoeker van het forum klikt op deze link, gaat deze bezoeker, zoals verwacht naar myshop.com en zal niets bijzonders merken. Wat deze bezoeker echter niet merkt is dat achter de schermen op myshop.com nu een sessie is gestart met het id “1234”. Wanneer de gebruiker zich nu registreerd en inlogd, zal in deze sessie worden opgeslagen dat de gebruiker is ingelogd.

Effectief komt het erop neer dat elke bezoeker met het sessie id “1234” opgeslagen in een cookie op zijn pc is ingelogd op het account van deze gebruiker. Aangezien de hacker weet welke sessie id hij heeft meegegeven in de link kan de hacker nu handmatig een cookie op zijn pc aanmaken met het juiste sessie id en is hij ingelogd op naam van de gebruiker.

Natuurlijk komt er bij een geslaagde session fixation wel iets meer kijken, maar het bovenstaande voorbeeld illustreerd het principe.

Hoe beveilig je je site tegen session fixation?

Omdat er bij deze hack techniek geen input of output naar de site komt kijken is escapen en filteren niet voldoende om je hiertegen te beschermen. Een goede en degelijke oplossing voor dit beveiligingslek is om iedere keer dat een gebruiker van “toegangsniveau” wisselt een nieuwe sessie id te laten genereren door de site. Dit kan met de functie session_regenerate_id().

In de parktijk zou dit betekenen dat zodra de bezoeker die de link op het forum heeft gevolgd, inlogd, er een nieuw sessie id voor hem wordt gegenereerd, hierdoor kan de hacker geen gebruik meer maken van de sessie id die hij probeerde te “fixeren” of met andere woorden “vast te leggen” door deze vooraf te definieren in de query string.

Hoewel de bovenstaande techniek uitstekend werkt om te voorkomen dat de sessie id van een gebruiker wordt “vast gezet”, helpt deze techniek totaal niet tegen een andere veel voorkomende hack waarbij sessies worden gebruikt: session hijacking.

Wat is session hijacking?

Session hijacking is eigenlijk een soort verzamel naam van allerlei technieken waarmee een hacker probeert het originele sessie id van de gebruiker te achterhalen in plaats van deze vooraf vast te zetten.

In de praktijk betekend dit dat als een hacker het sessie id kan achterhalen, hier zijn meerdere technieken voor, maar die vallen buiten het onderwerp van deze blog, deze hiermee hetzelfde kan als met een gefixeerde sessie in het vorige voorbeeld.

Hoe beveilig je je site tegen session hijacking?

Een van de beste manieren om je site tegen session hijacking te beveiligen is ervoor te zorgen dat er slechts 1 sessie tegelijk met hetzelfde id kan zijn. Dit kun je doen door bijvoorbeeld aan de hand van enkele php header zoals ‘ip adres’ of ‘user agent’ een token te genereren. Dit token valideer je dan op iedere pagina om te zien of de gebruiker van de sessie nog wel dezelfde gebruiker op dezelfde pc en browser is.

Filesystem security

In het volgende en laatste artikel uit deze serie zullen we filesystem security onder de loep nemen, en enkele praktische tips geven om dit onderdeel van je website beveiliging "dicht te timmeren".

Kijk hieronder voor de overige artikelen in deze serie:

Deel deze blog post:

Kevin van Beers | Inbound marketing specialist

Kevin is inbound marketing specialist bij VisionEars. Naast social media heeft hij ook een passie voor marketing automation.

Neem contact met mij op Contact
blog comments powered by Disqus
© 2008-2019 - VisionEars B.V. - Meetbaar online succes