Internetters kunnen via lek video laden op Omroep.nl
Gepubliceerd: Vrijdag 17 juni 2005
Auteur: Edwin Feldmann
De portal Omroep.nl blijkt kwetsbaar te zijn voor cross site scripting. Internetters kunnen hun eigen video's presenteren alsof ze door het NOS Journaal worden uitgezonden.
Diverse weblogs hebben opgemerkt dat Omroep.nl last heeft van een bekend euvel, cross site scripting (xss). Hiermee is het mogelijk om bijvoorbeeld javascript-code in een url op te nemen.
Door de url aan te passen, is het ook mogelijk om een eigen video op de NOS-pagina te laden en een eigen introtekst te presenteren. Om te laten zien hoe dit werkt, zijn onder meer pagina gemaakt waarop staat dat Michael Jackson toch schuldig is. Of dat premier Balkenende in de gevangenis zit. Webwereld heeft ook een voorbeeld gemaakt, deze is hier te zien.
De oplettende bezoeker herkent een dergelijke actie aan de veel langere url dan gebruikelijk, vol met %-tekentjes. In april bleken de sites van de Christen Unie, Leefbaar Nederland en het CDA ook gevoelig voor xss. Ook de nieuwssite Nu.nl bleek kwetsbaar.
William Valkenburg, contentmanager bij Omroep.nl, is verrast door de snelheid waarmee dit nieuws zich verspreidt. "Het is buitengewoon interessant om te zien hoe creatief de mensen zijn. Het is alleen vervelend dat ons merk er omheen staat."
Valkenburg hoopt daarom dat het euvel snel verholpen kan worden om eventuele verwarring te voorkomen. Wanneer het lek is gedicht, kon de woordvoerder van Omroep.nl niet zeggen.
