Gepubliceerd: Dinsdag 12 mei 2009
Zowel de SNS Bank als de Rabobank blijken kwetsbaar voor cross site scripting-aanvallen. Dit is de tweede keer dit jaar dat bankensites onveilig blijken.
Toon volledig artikel
Dit soort problemen, dat is dan ook de reden dat ik -over het algemeen- zo kort mogelijk probeer ingelogd te zijn.
Zodra je geen open sessie meer hebt met een site, hetzij een bank of een zoekmachine kan men weinig meer met XSS.
Natuurlijk zijn er ook uitzonderingen, waarbij de sessie (beduidend) langer open staat - maar als iemand onder mijn naam op WW wil posten dan doet hij z'n best maar :-)
Opgelost?? Wat een noobs zeg.
Ze hebben echt totaal geen idee waar ze mee bezig zijn, met een kleine verandering lekt het nog steeds daar zie http://tinyurl.com/okyv4w
het zit hem in de s.prop variabele die niet gefilterd wordt.
s.prop is een variabele van het statistieken pakket Omniture.
In IE8 krijg je een golden bar met de tekst: Internet Explorer has modified this page to help prevent cross-site scripting. Click here for more information.
>> Het aangegeven 'lek' op rabosport.nl is na melding zsm verholpen. Dit betrof alleen de hockeypoule als tijdelijke actie op deze site. Voor het complete beeld: rabosport.nl. is een externe website en wordt gehost buiten het Rabobank-domein. Er is dus geen enkel verband of veiligheidsrisico met Rabobank-internetbankieren. Niettemin hebben we deze verstoring op de sportsite onmiddelijk laten verhelpen, want zo'n XSS-lek hoort natuurlijk niet. << René Loman, Persvoorlichting Rabobank Groep
Ik weet het Jurpie ;) Je kan het eventueel zelf ook mailen naar DSB, of je moet willen dat ik het doe.
Kennel al die banken Owasp niet? link
The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and all of our materials are available under a free and open software license.
Jurpie, wellicht verstandig om de xss vulnerabilities niet te posten. Ze worden zo wel niet geindext, maar iemand kan er zo wel misbruik van maken ;)
Dat de kwetsbaarheid zich voor het inloggedeelte bevindt, zegt helemaal niets over de mogelijkheid om het te misbruiken.
Als je meerdere schermen of tabbladen open hebt staan en je bent eenmaal ingelogd, dan is het mogelijk om een xss exploit direct te sturen, wat er verdacht uitziet, of te verbergen in een andere website.
Wat al eerder is gedaan is een populaire ads website hacken en daarin een (browser / xss) exploit verbergen, om zo de verspreiding te vergroten.
Saillant detail van mijn vonsten eerder is dat 1 van de bank liet weten dat ze recentelijk nog een pentest hadden laten uitvoeren en dat na mijn bekendmaking ze direct excuses hadden aangeboden.
Dat vandaag de dag dergelijke antieke kwetsbaarheden nog steeds bestaan, is mij echt een reaadsel. Het is zo simpel te verhinderen...
Zeker groter organisaties behoren hun digitale zaakjes netjes op orde te hebben, zeker als het gaat om persoons- en digitale gegevens.
Sommige zeggen inderdaad wel dat ze al getest worden door professionele beveiligingsbedrijven. Maar dit zijn blijkbaar geen goed getrainde 'hackers' , als ze zelfs geen XSS lek kunnen vinden, die het simpelste is vinden. Blijft antiek :P
Allerlei checks achteraf zijn leuk, maar natuurlijk niet de oplossing - vandaar dat de "preofesionele beveiligingsbedrijven" dus ook niet alles vinden.
Volgens mij moet je de oorzaak zoeken in het feit dat men vooraf gaat bezuiniging bij de ontwikkeling of gewoon domweg luie ontwikkelaars inhuurt.
Door gewoon genoeg geld te besteden aan de daadwerkelijk implementatie, en ook actief te vragen naar bescherming tegen XSS kun je een veilige site neerzetten - maar zoiets kost geld aan de ontwikkelaats en de externe reviewers. (Want om zo'n proces zo goed mogelijk af te handelen moet de ontwikkelaar z'n best doen en scherp gehouden worden door een externe reviewer). Daqt kost vooraf flink wat extra inspanning, maar achteraf ben je er alleen maar blij mee...
Maar goed, eerst moet er een kalf verdrinken en dan gaat men pas de put dempen...
Reactie op MrPlace.
Bij deze cross site scripting problemen gaat dit niet op.
De gebruiker kan via deze scrips eenvoudig een virus of andere besmetting op zijn computer krijgen via de veilige "Rabobank" URL.
Dus het virus voor het skimmen van de Robabank betaalsite kon relatief eenvoudig via de Rabobank URL worden verstuurd.
Dat vind ik persoonlijk een groot risico.
Ik snap niet dat Banken die bestaan op het vertrouwen van hun klanten hun omgeving niet beter beschermen.
Door het toevoegen van een Web Aplication Firewall van b.v. Teros (nu Citrix) is een website eenvoudig te beschermen tegen dergelijke fouten.
Uiteraard dient de code van de website ook goed te zijn maar wat is er mis met een extra vangnet.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
