Vimexx Facebook

Vimexx Blog

Lees hier alle laatste Vimexx blogs!

XSS en CSRF

Blog bij Vimexx op 19-06-2018

Hackers kunnen vele verschillende methoden gebruiken om persoonlijke gegevens te stelen. Eén van de bekendste methoden om bepaalde informatie te achterhalen, is Cross-Site Scripting. Deze methode wordt ook wel afgekort met XSS. Een andere methode die hackers gebruiken om aanvallen uit te voeren op websites en webapplicaties, is CSRF. Meer over Cross-Site Scripting (XSS) en CSRF, lees je op deze pagina.

 

Wat is XSS?

Cross-Site Scripting wordt ook wel XSS genoemd. Dit is een type kwetsbaarheid die zeer veel voorkomt. Aangezien Cross-Site Scripting zo veel gedaan wordt, kan ook jij hier het slachtoffer van worden. Het is dan ook belangrijk om je goed te verdiepen in deze kwetsbaarheid.

 

Bij Cross-Site Scripting of XSS injecteert een hacker kwaadaardige code (JavaScript) in je browser of in een kwetsbare website of webapplicatie. Deze geïnjecteerde code kan je bijvoorbeeld op een gevaarlijke link laten klikken. Dit wordt ook wel Reflected XSS genoemd. Ook kan de code je sessie kapen, waardoor een hacker je cookie kan stelen. Hierna kan de hacker op jouw account inloggen, zonder inloggegevens.

Wat is CSRF?

De afkorting CSRF staat voor Cross-Site Request Forgery. Een groot probleem van dit type aanvallen op websites en webapplicaties, is het feit dat het lastig is om een website of applicatie tegen CSRF te beveiligen. Toch is het zeker niet onmogelijk om CSRF te voorkomen. De eerste stap van het voorkomen, is weten wat CSRF inhoudt.

 

De beste manier om CSRF uit te leggen, is door een voorbeeld te geven van dit type aanval. Stel, persoon X heeft een website. Om wijzigingen aan te brengen op de website, logt persoon X in met zijn of haar persoonlijke inloggegevens.

 

Nu heeft persoon X een mooie afbeelding gezien op een andere website: de website van persoon Y. Deze website haalt persoon X direct van de website van persoon Y af, om de afbeelding vervolgens op zijn eigen site te zetten. Persoon Y komt hier al snel achter en is niet blij. Hij besluit een link toe te voegen aan de afbeelding, naar de uitlogpagina van persoon X. Het gevolg? Als persoon X inlogt op zijn eigen website, wordt de afbeelding geladen. Dit betekent dat de uitlogpagina direct ingeladen is en persoon X direct uitgelogd wordt. Nu kan persoon X niet meer inloggen op zijn eigen website.

 

Dit is slechts een voorbeeld van CSRF. Er zijn vele andere dingen die je met dit type aanval kunt doen. Veel van deze dingen zijn veel schadelijker dan de aanval in bovenstaand voorbeeld. Het is dan ook belangrijk je site goed te beschermen tegen dit type aanval, om kleine en grotere problemen te voorkomen.

Wil je graag reageren op dit blog artikel? Dat kan! Bekijk het topic in ons Vimexx forum!