De gevaren van online winkeldiefstal

Wat u kunt doen tegen hackers

21 oktober 2004 | Remco Mourits In hun zoektocht naar gevoelige bedrijfsgegevens hebben hackers een nieuwe achterdeur gevonden: webwinkels. Immers, overal waar iemand wat intikt op het internet, onstaat een veiligheidsrisico.

Wie weet hoe je invulvelden manipuleert door bepaalde informatie in te voeren, kan in principe de controle krijgen over een hele website. Gelukkig onderkennen beveiligingsbedrijven dit probleem.

Via de invulvelden kunnen hackers heel wat uitrichten. Webwinkels laten bijvoorbeeld opeens in plaats van productlijsten de creditcardnummers van alle aangemelde gebruikers zien Of de achterliggende databank geeft de bedrijfsomzet van de afgelopen dag vrij. Ook kunnen productprijzen worden aangepast. De firewall merkt ondertussen niets van dit alles, omdat de hack via invulvelden van de website gebeurt en het bedrijfsnetwerk dus niet direct wordt aangevallen.

Gratis winkelen
Wanneer een consument via een online webshop een boek van bijvoorbeeld L.H. Wiener wil kopen, hoeft hij natuurlijk niet door de hele online catalogus heen te bladeren. Hij geeft simpelweg de auteursnaam op in een zoekveld en klikt op 'zoeken'. De webapplicatie haalt de zoekterm door een achterliggende databank en stuurt een lijst met resultaten terug.

Deze werkwijze heeft meerdere gaten in de beveiliging tot gevolg. Zodra de gebruiker een zoekopdracht start, komt de door hem opgegeven informatie via de openstaande http-poort 80 in het bedrijfsnetwerk terecht. Data die via deze poort binnenkomt, wordt door de meeste firewalls genegeerd, want via deze poort loopt het gezamelijke internetverkeer van het bedrijf. De firewall kijkt alleen of de passerende pakketjes met informatie werkelijk http-pakketjes zijn.

Noch de server, noch de databank of de firewall bekijkt of de door de gebruiker opgegeven informatie wel toegelaten kan worden. Niets controleert of de opdracht wel echt een eenvoudig zoekwoord is en niet alternatieve tekst met uitroeptekens, aanhalingstekens of puntkomma's, zoals bij programmeer-opdrachten het geval is.

Dit soort nalatigheid wordt door hackers uitgebuit. Ze geven in plaats van een zoekterm een SQL-opdracht op - de gevreesde SQL Injection. De server stuurt deze SQL-opdracht klakkeloos door naar de databank, die vervolgens aan de opdracht gehoor geeft. Op deze manier kan de hacker niet alleen alle mogelijke informatie uit de databank opvragen, maar ook gegevens wijzigen en zo bijvoorbeeld zijn boek van L.H. Wiener voor nul euro aanschaffen.