Gepubliceerd: Dinsdag 12 mei 2009
Zowel de SNS Bank als de Rabobank blijken kwetsbaar voor cross site scripting aanvallen. Dit is de tweede keer dit jaar dat bankensites onveilig blijken.
Toon volledig artikel
@HanZie: Stel jij bent ingelogd op een van de twee sites - bijv. de SNS. - en daarna navigeer jij naar mijn site.
Dan kan ik vanuit een pagina in mijn site, de site van de SNS bank openen EN daar javascript op uitvoeren. Dat script zou bijvoorbeeld kunnen zijn. "function MaakGeldOverNaarWebbes(){};".
Het mooie van dit alles is dat dit script wordt uitgevoerd alsof JIJ het uitvoerd vanuit jouw browser waar jij misschien nog wel keurig een ingelogde sessie open hebt staan.
Kortom ik kan vanuit mijn site een script uit laten voeren op de site van de SNS bank. Vandaar de naam Cross Site Script.. XSS
Groet,
Wes
Is wel leuk bedacht, maar wat zou je dan verder kunnen doen met een client side script? Het blijft geen nette zaak, maar volgens mij is er in dit geval bijna niets aan de hand. Ook al zou je bijvoorbeeld bepaalde waardes kunnen uitlezen uit controls, tags of cookies. Hoe krijg je die dan weer terug bij jou? dmv een control aan te spreken uit een parent document en dan via xmlhttp versturen? Ik vraag me af wat daar de haalbaarheid van is in dit geval.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
