Cross site scriptinglek in Tweedekamer.nl
Gepubliceerd: Vrijdag 16 september 2011
Auteur: Andreas Udo de Haes
De officiële site van de Tweede Kamer was kwetsbaar voor van buitenaf geïnjecteerde code, zogenaamde cross site scripting (XSS). Inmiddels lijkt het gat gedicht.
Donderdag werd duidelijk dat de site van de Tweede Kamer openstaat voor injectie van externe code, zogenaamde cross site scripting (XSS). Er werden verschillende plaatjes van buitenaf in de site gestopt om het lek te demonstreren. Behalve plaatjes is het met XSS gemakkelijk om kwaadaardige code aan een site toe te voegen.
Demonstratie van XSS-lek in Tweedekamer.nl. Zie groter plaatje.
Vanochtend was het lek half gedicht, maar waren de gemanipuleerde urls nog wel zichtbaar. Alleen werden de plaatjes niet meer getoond. De kwetsbaarheid lijkt nu verholpen.
Reeks incidenten
De beheerders van TweedeKamer.nl waren niet meteen bereikbaar voor uitleg. De kwetsbaarheid is het zoveelste security-incident bij een overheidsorganisatie de laatste tijd.
Donderdag schreven verschillende ethische hackers, die zich verenigen in hackerspaces, een brandbrief aan de Tweede Kamer om het belabberde ict- en securitybeleid bij de Nederlandse overheid aan te kaarten.
