Deze pagina behandelt op een algemeen niveau de verschillende manieren waarop systemen, software en mensen kunnen worden aangevallen (hacks) en hoe kwetsbaarheden worden uitgebuit (exploits). De nadruk ligt op begrip, risicobeoordeling en mitigatie, niet op uitvoering.
- Hack: Een poging om ongeautoriseerd toegang te krijgen tot systemen, data of functionaliteit. Niet elke hack is kwaadaardig; er bestaan ook ethische vormen zoals penetratietesten.
- Exploit: Een methode of code die een zwakte (vulnerability) in software of systemen gebruikt om ongewenst gedrag mogelijk te maken, zoals het uitvoeren van code, escaleren van rechten of het lekken van data.
Kort onderzoek om doelwitten, open poorten, services en publiek beschikbare informatie te identificeren. Dit helpt aanvallers hun aanpak te plannen.
Het manipuleren van mensen om vertrouwelijke informatie prijs te geven of acties uit te voeren. Voorbeelden: phishing, voice‑phishing (vishing), en pretexting.
Kwaadaardige software die ontworpen is om schade te veroorzaken, gegevens te stelen of toegang te behouden. Typen malware: trojans, ransomware, spyware en worms.
Aanvallen die gericht zijn op netwerklagen: interceptie van verkeer, man‑in‑the‑middle, ARP‑spoofing, en het misbruiken van onveilige netwerkconfiguraties.
Aanvallen die webapplicaties misbruiken: injection‑issues (bijv. SQL injection), cross‑site scripting (XSS), cross‑site request forgery (CSRF), en onveilige deserialisatie.
Aanvallen gericht op eindgebruikerssoftware: browser‑bugs, malafide downloads, en kwetsbaarheden in documenten of plugins.
Technieken waarmee een aanvaller van beperkte rechten naar hogere rechten op een systeem probeert te gaan, vaak door misconfiguraties of bugs te misbruiken.
- Zero‑day: Een kwetsbaarheid die nog niet publiek of door de leverancier is gepatcht. Dergelijke exploits zijn risicovol en waardevol.
- Supply‑chain aanvallen: Het compromitteren van software of diensten bij leveranciers om zo veel meer slachtoffers te raken.
Toegang verkrijgen tot hardware of media (bijv. het ontvreemden van een apparaat) om informatie te bemachtigen of systemen te saboteren.
- Diefstal van gevoelige gegevens (identiteitsgegevens, financiële data)
- Afpersing (ransomware)
- Botnets en infrastructuur voor verdere aanvallen
- Sabotage of verstoring van diensten
- Spionage of inlichtingenvergaring
- Bewustwording en training: Medewerkers trainen tegen social engineering en phishing.
- Patch‑management: Snel patchen en updaten van systemen en software.
- Least privilege: Beperk toegangsrechten tot het strikt noodzakelijke.
- Netwerkbeveiliging: Segregatie, monitoring, encryptie en veilige configuraties.
- Secure development: Security by design, code‑reviews en veilige ontwikkelpraktijken.
- Logging en monitoring: Detectie van afwijkend gedrag met logs en SIEM‑systemen.
- Back‑ups en herstelplannen: Regelmatige, geverifieerde back‑ups en disaster recovery‑procedures.
- Vulnerability management: Scannen, prioriteren en verhelpen van kwetsbaarheden.
- Multi‑factor authenticatie (MFA): Extra laag van verificatie voor toegang.
- Ongeautoriseerde hacking is illegaal en kan ernstige gevolgen hebben.
- Ethisch handelen: Penetratietesten en kwetsbaarheidsonderzoek moeten altijd met toestemming en duidelijke afspraken gebeuren.
- Responsible disclosure: Wanneer je een kwetsbaarheid vindt, volg een verantwoord meldproces naar de leverancier of via een coördinerend orgaan (bijv. CERT).
man-in-the-middle
metasploit
XSS
shells
PEASS-ng