Gepubliceerd: Donderdag 12 november 2009
De vernieuwde site van de Volkskrant is kwetsbaar voor cross site scripting aanvallen. Ook de oude site kampte met die problemen.
Toon volledig artikel
@deVolkskrant:
Mocht jullie programmeur echt de eerste beginnerslessen in PHP niet weten hier de oplossing die dergelijke injecties zal weren:
Dit is aannemlijk jullie huidige code. Gewoon ruw zonder enige check alle data via het q=variabel eruit gooien
<input type="text" name="q" value="<?php echo $_REQUEST['q']; ?>">
Verander dit naar:
<input type="text" name="q" value="<?php echo htmlentities($_POST['q']); ?>">
REQUEST -> POST, Zodat alleen data ingevuld via het formulier geaccepteerd word, en niet via de adresbalk. Dit is geen 100% beveiling daar mensen via andere domaiinnamen nog formulieren kunnen verzenden. Zie daarvoor stap 2.
htmlentities(); zet alle niet-alfabetische karaters die toch nog binnenkkomen om in veilige versies van hunzelf. Zo worden een codes als <test> omgezet in <test> welke geen kwaad kunnen.
In dat voorbeeld ging het dus om een extern script wat een berichtje oppopt. Maar dit kan bijvoorbeeld ook het plaatsen van een cookie zijn, of het oppoppen van een download naar een kwaadaardig bestand.
Daar komt bij dat omdat zowel via POST als het GET protocol informatie wordt geaccepteerd ook verborgen fomulieren gemaakt kunnen worden waardoor de URL helemaal clean lijkt en er nog steeds vanalles gaande is.
Een zeek kwalijke zaak die zeer simpel en snel opgelost dient te worden.
--
TeMc
PS: Ik zie dat mijn oorspronkelijke reactie is verwijderd. De reden ervoor kan ik begrijpen. Bericht is inmiddels verzonden naar de redactie/webmaster van deVolkskrant.
Leuk al die aandacht voor XSS. Maar ik zie nagenoeg nooit pogingen tot echt misbruik langs komen, behalve wanneer het zeer dynamische sites betreft met fora, open profielen etc. Dus hoe schokkend moet je XSS dan werkelijk vinden... Eens, lek is lek. Maar je bankrekening staat ook wagenwijd open voor diefstal zonder dat je er iets tegen kan doen. Dat nemen we ook voor lief omdat we als gemeenschap risico afwegen.
Ik weet niet bij welke bank jij dan zit, misschien moet je eens uit de doeken doen hoe je bankrekening "wagenwijd openstaat voor diefstal", dat zou best een mooie scoop zijn, dunkt me.
En je onderschat de gevaren van XSS. Vergeet niet dat de mogelijkheid tot injecteren van javascript ervoor zorgt dat je zo goed als totale controle over een webpagina krijgt. Je kan niet alleen session id's kapen, maar ook teksten/html injecteren/aanpassen, toetsaanslagen loggen, plaatjes veranderen, malware installeren dmv browser exploits, phishing attacks opzetten, ga maar door. Het is zachtgezegd nogal naief om te denken dat dat vrijwel nooit gebeurt - het gebeurt aan de lopende band.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
