We hebben een gratis websitebeveiligingsscanner gebouwd voor OpenClaw
De meeste website-eigenaren hebben geen idee welke code er in de browsers van hun gebruikers wordt uitgevoerd. Scripts van derden afkomstig van analyseplatformen, advertentienetwerken, chatwidgets en betalingsverwerkers worden allemaal uitgevoerd met volledige toegang tot de DOM, maar beveiligingsteams houden zelden een inventarisatie bij van wat er daadwerkelijk wordt geladen.
We hebben de cside Site Scanner gebouwd als gratis tool om je op weg te helpen het probleem te begrijpen. Het is een gratis, open-source tool die in ongeveer 30 seconden de scripts van derden, beveiligingsheaders en PCI DSS-risico's van elke website controleert. Beschikbaar op ClawHub, werkt hij met elke AI-agent en geeft beveiligingsteams een duidelijk startpunt: wat staat er op dit moment op mijn site?
De resultaten verrassen mensen vaak.
Het probleem: je website voert code uit die jij niet hebt geschreven
Een gemiddelde e-commercesite laadt 30 tot 50 scripts van derden: analytics, advertenties, chatwidgets, tag managers, betalingsverwerkers en session replay-tools. Elk daarvan heeft volledige toegang tot je DOM. Ze kunnen formulierinvoer uitlezen, cookies instellen, apparaten fingerprinting en gegevens exfiltreren.
De meeste beveiligingsteams hebben geen inventarisatie van wat er op hun pagina's wordt uitgevoerd. Ze controleren hun eigen code zorgvuldig, maar scripts van derden omzeilen dat proces volledig. Een marketingteam voegt een nieuwe analytics-pixel toe via Google Tag Manager, en plotseling wordt er nieuwe code uitgevoerd in de browser van elke gebruiker — code die nooit versiebeheer heeft aangeraakt of door CI/CD is gegaan.
Dit is geen theoretisch risico. Magecart-aanvallen hebben betaalgegevens op grote retailsites gecompromitteerd door kwaadaardige code te injecteren via gecompromitteerde scripts van derden. British Airways kreeg een forse boete nadat aanvallers een script van een derde partij hadden aangepast om betaalkaartgegevens van honderdduizenden klanten te stelen.
Wat de scanner doet
Wijs hem op een URL en hij voert een audit uit over zes categorieën.
Inventarisatie van scripts van derden
De scanner identificeert elk extern script dat op de pagina wordt geladen, groepeert ze op domein en categoriseert ze op type: analytics, advertenties, session replay, betalingsverwerking, CDN en meer. Je krijgt een volledig beeld van wie er code laat draaien in de browsers van je gebruikers.
Fingerprinting-detectie
Scripts van derden fingerprinting gebruikers vaker dan site-eigenaren beseffen. De scanner controleert op:
- Canvas fingerprinting
- WebGL-queries
- AudioContext-analyse
- Lettertypeopsomming
- Het uitlezen van navigator-eigenschappen
- Bekende fingerprinting-bibliotheken zoals FingerprintJS
Onder de AVG en CCPA kan fingerprinting worden beschouwd als het verzamelen van persoonsgegevens. Als een script van een derde partij dit doet op jouw pagina's, ben jij verantwoordelijk — ook als je er niet van wist.
Analyse van beveiligingsheaders
De scanner evalueert beveiligingsheaders die bescherming bieden tegen veelvoorkomende aanvallen:
| Header | Doel |
|---|---|
| Content-Security-Policy (CSP) | Bepaalt welke scripts mogen worden uitgevoerd |
| HTTP Strict Transport Security (HSTS) | Dwingt HTTPS-verbindingen af |
| X-Frame-Options | Voorkomt clickjacking-aanvallen |
| Permissions-Policy | Beperkt toegang tot browserfuncties |
| Subresource Integrity (SRI) | Verifieert de integriteit van scripts van derden |
Cookie-audit
Elke cookie wordt geanalyseerd op beveiligingsattributen: first-party versus third-party herkomst, Secure-vlag, HttpOnly-vlag en SameSite-instelling. Verkeerd geconfigureerde cookies kunnen kwetsbaarheden voor sessiekaping en cross-site request forgery veroorzaken.
PCI DSS 4.0.1-risicosignalering
Vereiste 6.4.3 van PCI DSS 4.0 verplicht organisaties om alle scripts op betaalpagina's te inventariseren en te verantwoorden. De scanner detecteert betaalformulieren en identificeert welke scripts van derden DOM-toegang tot die formulieren hebben, wat helpt bij compliance.
Tag manager-ketenanalyse
De scanner voert een voor-en-na-vergelijking uit: hij inventariseert scripts bij het laden van de pagina en controleert opnieuw nadat tag managers zijn uitgevoerd. Het verschil toont je niet-gecontroleerde aanvalsoppervlak — scripts die via GTM of andere tag managers zijn binnengekomen zonder codereview.
Beveiligingscijfer
Alle bevindingen worden samengevat in één A-F-cijfer, gewogen over acht factoren. Dit geeft één getal om risico's aan stakeholders te communiceren en verbeteringen in de loop van de tijd bij te houden.
Waarom tag manager-detectie belangrijk is
Google Tag Manager staat op ongeveer 30% van de top miljoen websites. Het geeft marketingteams de mogelijkheid om scripts toe te voegen zonder te wachten op een engineering-deploy. Diezelfde flexibiliteit creëert het grootste blinde vlak in veel beveiligingsprogramma's.
Scripts die via GTM worden geladen, omzeilen codereview. Ze verschijnen niet in je codebase. Ze gaan niet door je CI/CD-pipeline. Ze worden uitgevoerd in de browsers van je gebruikers met volledige DOM-toegang, en niemand in het engineeringteam heeft ze goedgekeurd.
Een gecompromitteerde GTM-container of een malafide marketingpixel kan kwaadaardige code over je hele site injecteren. De scanner maakt dit verborgen aanvalsoppervlak zichtbaar.
Waarom fingerprinting-detectie belangrijk is
Device fingerprinting maakt een unieke identifier voor gebruikers op basis van browsereigenschappen, hardwareeigenschappen en geïnstalleerde lettertypen. In tegenstelling tot cookies kunnen gebruikers fingerprints niet eenvoudig verwijderen, en velen weten niet dat ze op deze manier worden gevolgd.
De privacyimplicaties zijn ernstig. Toezichthouders beschouwen fingerprinting steeds vaker als het verzamelen van persoonsgegevens waarvoor expliciete toestemming vereist is. Als een analytics- of advertentiescript bezoekers op jouw site fingerprint zonder de juiste melding, neem jij dat compliancerisico over.
De scanner identificeert welke scripts fingerprinting-technieken gebruiken en welke methoden ze daarvoor inzetten, zodat je kunt beslissen welke derde partijen op jouw pagina's thuishoren.
Beperkingen van de scanner
De scanner heeft reële beperkingen die je moet begrijpen. Hij laadt een pagina eenmalig, in één browser, vanuit één locatie — een momentopname, geen doorlopende monitoring.
Hij mist:
- Scripts die per gebruiker variëren; ad tech- en A/B-testtools serveren verschillende code aan verschillende gebruikers, apparaten en geografische locaties
- Intermitterende aanvallen; Magecart-skimmers die alleen worden geactiveerd bij het afrekenen voor specifieke IP-bereiken of user agents
- Injectie na het laden; scripts die op basis van gebruikersinteractie dynamisch aanvullende code laden
- Wijzigingen in tag managers; GTM-containers kunnen op elk moment worden bijgewerkt zonder een deployment
Geen enkele scanner kan zien wat er in de browsers van je echte gebruikers wordt uitgevoerd in de loop van de tijd. Het verschil tussen een eenmalige audit en continue monitoring is precies waar aanvallen zich verbergen.
Waar cside het overneemt
cside sluit die kloof via continue client-side beveiligingsmonitoring. In plaats van eenmalig te scannen, proxiet cside scripts voordat ze de browser bereiken en inspecteert runtime-code over alle gebruikers en sessies.
Dit vangt op wat momentopnames missen: scripts die zich anders gedragen voor bepaalde gebruikers, code die na review wordt gewijzigd, en supply chain-compromissen die onder specifieke omstandigheden optreden. Echte aanvallen wachten niet op je volgende geplande audit.
Probeer het zelf
De scanner is gratis en open source op ClawHub:
npx clawhub@latest install cside-site-scannerVraag vervolgens je AI-agent om een site te scannen.
Als de resultaten aanleiding geven tot zorgen, staan we klaar om te helpen!
