Gepubliceerd: Donderdag 14 mei 2009
Volgens een beveiligingsexpert van Kaspersky zijn xss-lekken niet altijd even gevaarlijk. "Waar maken we ons soms druk over?"
Toon volledig artikel
Ik ben het met Zargo eens, want je zet er een programmeerteam op, en dan verwacht je dat de website in orde is.
Natuurlijk kan een website nooit 100% veilig zijn.
Maar sommige websites zeggen hun eigen teams en contacten te hebben die de website penetreren (testen).
Jullie hebben het wel gezien, Zargo en ik hadden nog steeds fouten ontdekt op bank websites.
Ik ga nu even eten :P
Willems vindt dat sites waarop foute code of malware te vinden is in essentie een groter probleem dan xss-lekken.
Zijn XSS-lekken niet bij uitstek geschikt om malware te presenteren op een site zonder toegang te hoeven krijgen tot de achterliggende server? Malware lijkt me eerder een symptoom/gevolg van een slechte beveiliging dan een probleem op zichzelf.
Met xss-lekken is het inderdaad mogelijk om bestanden ter download aan te bieden of zelf via een browser exploit te laten installeren.
Bovendien is het niet ondenkbaar om met xss een csrf aanval uit te voeren op een website waarop je nog niet geauthenticeerd bent. Bijvoorbeeld, we nemen weer een imagionaire bank, omdat dit de impact vrij duidelijk maakt:
- er is een xss lek op www.bank.nl
- gebruiker is niet ingelogd op www.bank.nl
- de inlogpagina checkt alleen de http referer (is niet voldoende!)
- gebruiker bezoekt een andere website waar de xss payload is ondergebracht (bijvoorbeeld een gehackte banner)
- de payload draait vanaf www.bank.nl, dus wordt niet geblokkeerd wegens illegale http referer.
- de payload mag proberen wachtwoorden te raden.
- en als je echte een knappe jongen ( of meid ;) ) bent, is het niet ondenkbaar om de brute force aanval gedistribueerd te laten plaatsvinden.
Het is wellicht niet simpel en het lijkt vergezocht, maar desalniettemin wel mogelijk.
Ik kan het verzinnen, dus iemand met kwade bedoelingen ook.
Juist, en daarom vind ik het antwoord van beveiligingsexpert Kaspersky niet helemaal kloppen. Zarco, is misschien wat om samen op security.zarco.nl artikelen te schrijven? Ik ben namelijk weer wat rare dingen tegengekomen op het net. Ook best groot eigenlijk.
Stuur me maar een mailtje op dennis.veninga[at]gmail.com
Wat ik kan bedenken waarom Willems van Kaspersky een deel van xss als onnodige ophef te bestempelt en vervolgens het gevaar van malware benadrukt is het belang van Kaspersky te vergroten in wat ze het beste uit komt. Kaspersky gaat het om zo veel mogelijk verkopen van hun producten en diensten en die verkopen kennelijk beter door mensen bang te maken voor zaken die ze snappen. Een beetje professional op gebied van beveiliging weet dat het om risicobeheersing gaat en je dan geen appels met peren moet vergelijken. Willems verdedigt zijn strekking met een nietszeggend argument dat je moet uitkijken een probleem te willen zien als er geen lek is. Maar hij gaat daarbij geheel onterecht voorbij aan het feit dat zo kijken naar beveiliging kortzichtig is en je beide kanten moet afwegen. Het is al gevaarlijk wanneer je het toelaat dat gebruikers controle hebben over de informatie die je systemen uit jou naam als betrouwbaar verstrekt. Wat de verdere gevolgen zijn, dat blijft gissen. Als je op dat laatste pas wil gaan gokken in plaats van naar de achtergrond te kijken vraag ik me af waarom je je nog expert durft te noemen.
"De ernst van het lek wordt soms uit zijn verband wordt gerukt", zegt Willems. Volgens hem is de mogelijkheid voor het uitvoeren van een xss-aanval nog niet wil zeggen dat er sprake is van een heel groot gevaar. "Dat is compleet misplaatst."
Wat een broddelwerk dit artikel zeg... Lees het eerst nog eens goed door voor je zoiets plaatst zeg. ;)
Verder heeft die Kaspersky-knakker wel gedeeltelijk gelijk... als er niets te halen is, is er weinig gevaar aan XSS-lekken.
Verder heeft die Kaspersky-knakker wel gedeeltelijk gelijk... als er niets te halen is, is er weinig gevaar aan XSS-lekken.
Veel bedrijven zullen ook een afweging maken of de extra kosten die nodig zijn om de boel zo goed als waterdicht te maken afwegen tegen mogelijke schade. Wat dat betreft is IT precies hetzelfde als ieder ander onderdeel van de economie.
Veel bedrijven zullen ook een afweging maken of de extra kosten die nodig zijn om de boel zo goed als waterdicht te maken afwegen tegen mogelijke schade.
We hebben het hier over XSS-lekken. De kosten om die te voorkomen zijn niet hoger dan het hanteren van fatsoenlijke 'best practices' door programmeurs: wees ruimhartig in wat je als input accepteert, wees nauwkeurig in wat je als output produceert.
In de praktijk kan het, voor websites, zo simpel zijn als het niet toestaan van '<' in je input. Echt, het voorkomen van XSS is geen 'geavanceerde beveiliging' maar een eerste stap naar een acceptabele kwaliteit van je software.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
