Webhosting Belgie - Mijn Hosting Partner.beWebhosting Belgie - Mijn Hosting Partner.beWebhosting Belgie - Mijn Hosting Partner.beWebhosting Belgie - Mijn Hosting Partner.be

Wat is een security txt bestand

Wat is een security txt bestand
MijnHostingPartner

Wat is een security txt bestand

Vrijwel alle websites hebben een aantal txt bestanden in de wwwroot van de installatie staan. Dit kan een readme bestand zijn die is meegekomen tijdens de installatie, een ads.txt voor het doorgeven van informatie aan adverteerders tot een robots.txt bestand wat ervoor zorgt dat de website op de correcte manier geïndexeerd wordt. Een security.txt bestand heeft als functie ervoor te zorgen dat duidelijk is hoe en waar je een digitale kwetsbaarheid kunt melden. Vaak gaat het om een beveiligingslek binnen de applicatie of een configuratiefout die misbruik mogelijk maakt. Laten we in dit artikel behandelen hoe dit in elkaar steekt, en hoe jij dit kunt gaan gebruiken bij jouw website. 

Niet elke hacker is er op uit om misbruik te maken van je website. Er zijn ook een hoop personen en vaak programma’s die geschreven zijn door personen die het web scannen op kwetsbaarheden om die vervolgens te melden aan de betreffende partij. Dit juist om misbruik te voorkomen. Het is echter niet altijd duidelijk waar je kwetsbaarheden kunt melden. Daarom is een security.txt bestand een manier om ervoor te zorgen dat deze informatie wel beschikbaar is. In dit bestand staan instructies om in contact te komen met de juiste afdeling zodat dit opgepakt en opgelost kan worden. 

Na het vinden van een lek of kwetsbaarheid kan hier op een paar verschillende manieren mee om worden gegaan. 

Onderdeel van Responsible Disclosure

Er zijn verschillende manieren om door een ethische hacker een kwetsbaarheid binnen de applicatie te melden, dit kan op de volgende drie manieren.  

Full Disclosure of volledige openbaarmaking, dit is wanneer de vinder gelijk publiekelijk bekendmaakt dat er een kwetsbaarheid aanwezig is. Dit is vaak ongewenst, omdat de kwetsbaarheid dan uitgebuit kan worden door iedereen, waaronder kwaadwillenden.

Non Disclosure of het niet naar buiten brengen van het vinden van het lek. Hier wordt dus niet openbaar gemaakt of aan de organisatie meegedeeld dat er een lek aanwezig is. Dit heeft dus als groot nadeel dat het lek dus ook niet opgelost kan worden door de organisatie.

Responsible Disclosure is de goede middenweg hiertussen, na het vinden van de lek of kwetsbaarheid wordt er een melding gemaakt naar de organisatie. Met de kwetsbaarheid hierin technisch beschreven. De betreffende organisatie heeft dan de kans om dit op te lossen en te patchen. Een Security.txt bestand kan hierin enorm helpen, aangezien er gelijk duidelijk is voor de vinder van de kwetsbaarheid waar dit gemeld kan worden. 

Het maken van een Security.txt bestand

Een security.txt bestand is eenvoudig aan te maken door simpelweg even een kladblok (notepad) te openen en hierin de informatie te plaatsen waar je je meldingen kunt doen. Een andere en betere manier is om gebruik te maken van een website zoals https://securitytxt.org/. Dit omdat het formaat van het bestand dan het beste klopt met de standaarden en de informatie dan dus het beste te parsen is door geautomatiseerde systemen. Deze kan je dus gemakkelijk helpen met het genereren van het bestand. Vervolgens kan je het aangemaakte bestand dan uploaden in je hosting space. Dit kan in zowel direct de WWWROOT, als ook in de folder well-known. Zodat dit altijd beschikbaar is. 

Door de bestandsnaam achter je reguliere domeinnaam te zetten kan je testen of het werkt. Het txt bestand moet dan namelijk naar voren komen. Is dat niet het geval, dan kan je controleren of de naam klopt en of je het bestand wel op de juiste plek hebt neergezet. Het moet namelijk van buitenaf te benaderen zijn zodat dit gevonden kan worden door zowel goedwillenden als programma’s / crawlers.

Redenen voor het actief maken van een security.txt bestand

Een security.txt bestand kan er dus voor zorgen dat goedwillenden zich eenvoudiger kunnen melden als er wat aan de hand is bij jouw website. Het voorhanden hebben van een security.txt bestand zorgt er voor dat dit duidelijk is voor mensen die hier naar zoeken. Een dergelijk bestand zorgt er voor dat men eerder geneigd is om melding te maken van een kwetsbaarheid. Het kan ook de nodige informatie geven in de vorm van een beloning, of een bugbounty, zoals dit ook wel genoemd wordt.

Een andere belangrijke reden om een security.txt bestand te hebben is om ethische hackers de gelegenheid te geven om jouw website te testen op kwetsbaarheden. Zo kunnen er meer of belangrijkere zaken naar boven komen dan alleen een moment opname van een audit of penetration test.

Wanneer er binnen je organisatie iemand is die de verantwoordelijkheid heeft om dit soort veiligheidsissues op te pakken, dan is het raadzaam om een security.txt bestand aan te maken. De kans is dat je hier vrij veel meldingen op binnenkrijgt, aan jouw de taak om eruit te filteren wat authentieke meldingen zijn en welke met hoge prioriteit opgepakt dienen te worden. Niet elke melding zal namelijk even hoog op de prioriteiten lijst staan. Er zullen zelfs meldingen zijn die niet te maken hebben met de veiligheid van je website. 

Voorbeeld van een Security.txt

Als voorbeeld voor een security.txt kan je eens kijken naar de security.txt zoals Google die heeft, deze is in te zien op de volgende link: 

En ziet er als volgt uit: 

Wat is een security txt bestand

Zo zie je dat er een duidelijke link is naar de informatie die noodzakelijk is voor ethische hackers en is ook meteen inzichtelijk wat de policy voor het melden is en wat de eventuele beloning is. 

Is een security.txt bestand voor iedereen aan te bevelen?

Een security.txt kan dus helpen om je website veiliger te maken. Met name wat grotere bedrijven of specialisten zullen dit toepassen op hun website. Het is de vraag of dit ook interessant is voor een doorsnee hobby website die onderhouden wordt door een beginner en gemaakt is met WordPress. Naast het standaard updaten van een plug-in of thema zal er vermoedelijk niet de technische kennis aanwezig zijn om een diepere foutmelding te kunnen oplossen.   

Bij bedrijven die periodiek een pen-test of een security audit laten uitvoeren voegt een dergelijk bestand natuurlijk wel iets toe aangezien de melding dan doorgegeven kan worden aan de partij die de beveiliging regelt. 

Wil je hier verder in begeleid worden en vragen specifiek voor jouw bedrijf beantwoord zien? Dan kan je hiervoor ook eens een kijkje voor nemen bij onze partner MijnSecurityPartner.nl. Hier staan onze specialisten voor je klaar!