Politiebond.nl nog steeds lek als een mandje

politiepet

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (5)
3x Aanbevolen

Gepubliceerd: Zondag 10 juli 2011
Auteur: Uhro van der Pluijm

De website van de Nederlandse Politiebond blijkt nog steeds lek. SQL-injectie is niet langer mogelijk maar cross site scripting kan nog altijd. Zo kunnen criminelen bijvoorbeeld cookies stelen.

Afgelopen week bleek dat de website van de Nederlandse Politiebond (NPB) vatbaar was voor SQL-injectie. Daarmee is het mogelijk om commando's voor SQL in te geven in bijvoorbeeld de url en zo de database uit te lezen. Een hacker van Anonymous kraakte daarmee de gebruikersdatabase en plaatste die online.

Cross site scripting

Om de ramp nog groter te maken kraakte een ander anoniem persoon een dag later alle wachtwoorden om die vervolgens ook te publiceren. Om het lek te dichten, sloot de NPB drie dagen lang de website.

De site is weer live, maar nog steeds vol gaten. Het is inmiddels niet langer mogelijk om SQL-injectie uit te voeren maar nu blijkt cross site scripting nog wel mogelijk.

Met die techniek wordt een stuk html via bijvoorbeeld de url of een invulveld in de pagina geplaatst. Dat kan als een website niet goed valideert wat er ingevoerd wordt of door een fout in een script. Zo is het mogelijk om bijvoorbeeld tekst of afbeeldingen op een website te plaatsen.

Cms filtert niet

Dat is exact wat veel Twitteraars nu doen met de website van de Nederlandse Politiebond. Zij plaatsen verschillende teksten en foto's, vaak grappig bedoeld, op de website. Dat kan door de manier waarop de site van de NPB is opgebouwd. Achter veel links staat namelijk een 'lokatie_id' die leeg blijft. Door daar via de url-structuur html achter te plaatsen komt een tekst (of afbeelding) bij iedere link te staan.

Ook bij de sub_id, die geldt voor de veelgestelde vragen, gaat het fout. Door achter het nummer voor de categorie gelijk een afbeelding of tekst te plaatsen, komt die afbeelding of tekst ook gewoon in de foutmelding op de webpagina die aangeeft dat die id niet bestaat te staan. Het cms van de vakbond filtert dus niets.

Script uitvoeren

In eerste instantie kan het toevoegen van tekst op een website weinig kwaad, al kan een gebruiker vreemd opkijken als hij op een bewerkte link klikt. Het is echter erger als een kwaadwillende geen afbeelding of tekst maar een script toevoegt. Zonder filtering worden deze scripts simpelweg ook uitgevoerd.

Vervolgens is het voor een hacker mogelijk om bijvoorbeeld het cookie uit te lezen en op die manier de sessie van een gebruiker te stelen. Zo is het mogelijk om als iemand anders op een site in te loggen en bijvoorbeeld zijn of haar gegevens aan te passen. Het is Webwereld onbekend of de website van de Politiebond met zo'n sessie cookie werkt.

Bij de Nederlandse Politiebond was op zondagavond niemand aanwezig om te reageren. Webwereld heeft de vakbond voor politieagenten wel per e-mail op de hoogte gesteld van het euvel.

Relevante whitepapers

Alle whitepapers >>
  • Categorieën:
  • Beveiliging

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)