FAQ

Veelgestelde vragen over Webalyse

Webalyse is een krachtige tool voor website professionals. Waar mogelijk informeren wij iedereen via onze FAQ. Indien uw vraag hier niet tussen staat kunt u dit online melden. Ons team zal binnen een werkdag reageren.

Het Webalyse concept

Wordt mijn site na de scan nooit meer gehackt?

Uiteraard is hier nooit een 100% garantie op te geven. Indien er geen 'onveilgheden' door onze scan worden gevonden, betekent dit niet dat u nooit meer gehackt wordt. Het kan zijn dat er wel onveiligheden in zaten die u heeft opgelost, het kan ook zijn dat er nog security-fouten in uw website zitten die niet door onze scan worden gedetecteerd. Tot slot is het een moment-opname, wat vandaag veilig is hoeft morgen niet meer lekken-vrij te zijn. Wij adviseren met enige regelmaat een scan van uw site uit te voeren, bijvoorbeeld na updates of op periodieke basis. Vergelijk de Webalyse scan met de APK van een auto: het is een moment-opname die periodiek uitegvoerd moet worden en slechts enkel vitale functies van de auto controleert. Als u vandaag een APK laat uitvoeren en alle lampen werken, hoeft dit niet te werken dat morgen de verlichting nog steeds 100% in orde is. Daarnaast contoleert de APK niet of de auto-radio werkt, iets dat wel kapot kan zijn maar geen onderdeel van de check uitmaakt.

Ik ben gehackt, help! Kunnen jullie alsnog scannen?

Helaas, een scan zal niet voldoende zijn om de hack op te heffen. Het is niet altijd mogelijk om achteraf te traceren wat de hacker heeft veranderd of kapot gemaakt. In dit geval geldt dat voorkomen beter is dan genezen. Heeft u toch hulp nodig bij het herstellen van uw site? Neem contact met ons, wellicht kunnen wij u helpen of doorverwijzen.

Kan iedereen een security scan aanvragen?

In principe kan iedereen zijn of haar website door Webalyse laten controleren op security fouten. In sommige gevallen voeren wij een extra verificatie uit waarbij wij controleren of u gerechtigd bent om de site te laten scannen. Deze controle stap bestaat uit het uploaden van een tekst bestand met een unieke code naar uw website.

Wanneer ontvang ik mijn rapport?

De Webalyse scan start automatisch na iedere bestelling. Na het doorlopen van uw website zal het rapport direct per e-mail worden verzonden. In veel gevallen is dat al binnen één uur. Het kan zijn dan onze scanner meer tijd nodig heeft als uw website meer pagina’s bevat. Mocht u na 12 uur geen rapportage hebben ontvangen, dan kunt u onze helpdesk vragen om assistentie.

Waarom moet ik een backup maken van mijn website?

De Webalyse scanner loopt uw website na op zoek naar security fouten. Zo kijkt de scanner of het mogelijk is om teksten te plaatsen op uw website of pagina inhoud aan te passen. Mocht dit inderdaad mogelijk zijn dan moet u dit na afloop zelf kunnen herstellen. Controleer daarom goed of uw backup volledig is voordat u de Webalyse scan start.

Wie kan mij helpen met gevonden fouten?

Bij iedere scan kunt u aanvullende ondersteuning bestellen. Een ervaren security auditor doorloopt dan samen met u de resultaten en kan adviseren bij verhelpen van deze fouten. Onze auditors mogen echter geen wijzigingen aanbrengen in de code van uw website. Hiervoor adviseren we om hulp in te schakelen van een programmeur.

Controleert de scan ook op de Heartbleed fout?

Nee, onze scanner controleert alleen uw web applicatie. De server waar deze web applicatie op draait kan ook kwetsbaar zijn. Meer info over Heartbleed kunt u vinden op http://heartbleed.com/

De Webalyse scanner

Hoe vindt Webalyse alle pagina's op mijn website?

Net als een zoekmachine loopt de scanner iedere hyperlink na die het tegenkomt op de opgegeven pagina. Een website zonder hyperlinks naar onderliggende pagina's kan van negatieve invloed zijn op de kwaliteit van de scan.

Kan ik login informatie meegeven?

Alleen middels aanvullende ondersteuning kan maatwerk worden aangebracht aan de scan. Bij het bestellen van het rapport kunt u aangeven of u aanvullende ondersteuning wilt.

Maakt het uit welk Content Management Systeem ik gebruik?

Webalyse kan voor vrijwel ieder Content Management Systeem (bijvoorbeeld WordPress, Joomla, Umbraco of maatwerk) worden ingezet. Omdat veel security risico's cross-platform zijn maakt de onderliggende programmeertaal (bijvoorbeeld PHP of .Net) niet uit.

Het rapport

Hoe accuraat is het rapport?

Het rapport is samengesteld door toonaangevende gelicenseerde security audit software. Toch kan een ervaren security expert soms nog extra risico's herkennen, of juist bevestigen dat een genoemde risico in werkelijkheid niet schadelijk is. Daarom adviseren wij om bij elke scan extra support uren te bestellen. Een ervaren auditor loopt dan samen de resultaten met u door.

Ik heb nog geen rapport ontvangen

Dagelijks controleren wij of de automatische scans correct verlopen. Mocht u na 24 uur nog steeds geen rapport hebben ontvangen, controleer dan eerst of het e-mailbericht van Webalyse niet in uw spamfolder terecht is gekomen. Wanneer dat niet het geval is kunt u dit online melden zodat een medewerker het proces zal controleren.

Kan het rapport ook in het Nederlands?

Momenteel is dit nog niet mogelijk. Wekelijks worden nieuwe security definities aan de audit software toegevoegd met toelichting in het engels. Op dit moment kiezen we ervoor deze definities direct in te zetten en niet te wachten op een vertaling. Toch hopen wij dit spoedig te kunnen aanbieden.

Ik snap het rapport niet, kan Webalyse het uitleggen?

Ja! Het rapport kan soms vrij technisch overkomen en wij begrijpen dat niet iedereen hier wijs uit kan worden. Daarom kunt u bij iedere scan aanvullende ondersteuning bestellen. U komt op die manier in contact met een ervaren auditor die u exact kan uitleggen wat de waarschuwingen betekenen en hoe u daar iets aan zou kunnen doen.

Meest gevonden fouten

Cross-Site-Scripting (XSS)

Bij Cross-Site-Scripting, of XSS, wordt de invoer van gebruikers, zoals een gebruikersnaam, e-mailadres of zoekterm aan de gebruiker teruggetoond zonder dat HTML tekens eerst naar een veilige variant omgezet worden. Hierdoor kunnen HTML karakters die de gebruiker opgeeft onderdeel worden van de website en zou er bijvoorbeeld javascript-code worden uitgevoerd die login-informatie of andere (gevoelige) data steelt van andere gebruikers, zonder dat zij dit doorhebben.

SQL-Injection (SQLi)

Bij SQL-Injection, of SQLi, wordt de invoer van gebruikers, zoals een gebruikersnaam, e-mailadres of zoekterm direct in een SQL query gebruikt zonder dat deze query op een veilige manier wordt opgebouwd. Hierdoor kan een kwaadwillende gebruiker een speciale invoer opgeven om willekeurige data uit de database op te halen of om deze in de database te plaatsen. De hele database kan op deze manier gecompromitteerd worden, inclusief gebruikersnamen en wachtwoorden.

Cross-Site-Request-Forgery (CSRF)

Bij Cross-Site-Request-Forgery, of CSRF, is het mogelijk om met een enkele aanroep naar een pagina een actie uit te voeren, waardoor een kwaadwillende gebruiker een legitieme gebruiker acties kan laten uitvoeren zonder dat hij hier expliciet toestemming voor geeft. In de praktijk houdt dit in dat een gebruiker bijvoorbeeld op een linkje klikt die direct een geldbedrag naar een andere rekening over maakt, of een aankoop doet, zonder dat er om bevestiging wordt gevraagd. Ook is het mogelijk om deze linkjes te verbergen in een afbeelding-link, waardoor deze aanroep wordt gedaan tijdens het laden van de pagina, zonder dat het slachtoffer dit doorheeft.

Path Traversal

Bij Path Traversal is het mogelijk om bestanden aan te roepen buiten de publieke website directories. Een kwaadwillende gebruiker kan bijvoorbeeld een parameter aanpassen die verwijst naar een bestandslocatie. Wanneer er vervolgens geen of onvoldoende validatie plaatsvindt op de parameter kan een kwaadwillende gebruiker de parameter zo aanpassen dat bestanden met gevoelige informatie uitgelezen worden.

Sensitive Data Exposure

Sommige webapplicaties maken gebruik van databases om gevoelige gegevens zoals creditcards, persoonsgegevens, of medische gegevens op te slaan. Met Sensitive Data Exposure wordt bedoelt dat een kwaadwillende gebruiker deze gegevens zonder toestemming op kan vragen uit de databases. Een dergelijk risico komt bijna altijd voor in combinatie met andere fouten zoals SQL-Injection of Path Traversal.

File Inclusion

Bij File Inclusion worden bestanden die geüpload kunnen worden, zoals PDF-bestanden, Word-documenten en/of afbeeldingen niet, of op een incorrecte wijze gevalideerd. Zo zou een aanvaller bijvoorbeeld in plaats van een afbeelding of document een malafide bestand kunnen uploaden. Indien er onvoldoende controle plaatsvind op deze bestanden dan zou dit malafide bestand uitgevoerd kunnen worden op het moment dat deze via de browser aangeroepen wordt. Een kwaadwillende gebruiker kan zich hiermee toegang verschaffen tot het gehele systeem, inclusief de database en bestanden.

Clickjacking

Bij clickjacking wordt een onzichtbare malafide pagina over een legitieme pagina ingeladen. Op het moment dat een gebruiker een actie probeert uit te voeren op de pagina wordt deze actie onderschept waardoor er in feite een andere actie wordt uitgevoerd, zoals het verwijderen van een account of het bestellen van een product.