'Overheidssites vatbaar voor XSS-aanval en SQL-injectie'
Gepubliceerd: Vrijdag 19 oktober 2007
Auteur: Michiel van Blommestein
Beveiligingsspecialist Jacco van Tuijl claimt dat diversie overheidswebsites kwetsbaarheden bevatten die SQL-injecties en aanvallen met cross-site scripting (XSS) mogelijk maken.
Van Tuijl verklaarde zijn ontdekkingen tegenover Techworld. Het onderzoek, dat Van Tuijl op persoonlijke titel uitvoerde, leidde tot de ontdekking van verschillende kwetsbaarheden, waarvan hij er zes a zeven bij overheidsbeveiliger GovCert heeft gemeld. Onder de kwetsbare websites bevinden zich ook sites van het Ministerie van Justitie, verklaart Van Tuijl.
De onderzoeker zegt geen nadere details over de kwetsbaarheden vrij te geven. Wel plaatst hij regelmatig updates over het onderzoek op een forum. GovCert bevestigt de melding te hebben ontvangen. De betreffende sites zouden zijn gewaarschuwd.
Full disclosure
In een interview met Security.nl dreigde Van Tuijl vrijdagmiddag overigens wel met full disclosure van de kwetsbaarheden, als de overheid in zijn ogen niet snel genoeg maatregelen neemt om de lekken te dichten. Van Tuijl zegt niet bang te zijn voor vervolging en claimt alleen de publieke zaak te willen dienen. "Ik vind mijn eigen toekomst ondergeschikt aan de algemene veiligheid en heb daarom geen moment getwijfeld of dat ik het zou moeten melden of niet", aldus de onderzoeker.
