Sociale nieuwssite En.nl bevat beveiligingslek
Gepubliceerd: Dinsdag 11 maart 2008
Auteur: Tom Sanders
De sociale nieuwssite En.nl blijkt vol gaten te zitten waarmee zogenaamde cross site scripting aanvallen zijn uit te voeren.
En.nl is een initiatief dat gebruikers in staat stelt om nieuwsverhalen zelf te verrijken en aan te passen. De site wordt beheerd door PCM, uitgever van ondermeer NRC Handelsblad en de Volkskrant.
Naast inhoudelijke wijzigingen aan artikelen, kunnen bezoekers ook code in verhalen plakken. Daarmee zet de site de deur wagenwijd open voor zogenaamde cross site scripting (XSS) aanvallen. Dat blijkt uit een korte inventarisatie van Webwereld waarbij de redactie ongevaarlijke code op de site achterliet. Zo slaagden we erin om bezoekers van een pagina een automatische pop-up te presenteren met de tekst 'XSS' (zie afbeelding beneden). De code werd pas na 10 uur van de site verwijderd.
Cross site scripting
Bij een XSS-aanval laat een belager code achter op bijvoorbeeld een reactieforum of elders op een website. Deze code is vaak onzichtbaar voor bezoekers, maar wordt elke keer dat iemand de pagina opvraagt automatisch uitgevoerd. Op die manier kunnen aanvallers bezoekers bijvoorbeeld doorsturen naar een website met kwaadaardige code, of wachtwoorden die in cookies zijn opgeslagen stelen.
XSS-gaten zijn een groeiend probleem dat zich vooral bij Web2.0 diensten voordoet, observeert Eddy Willems, virus evangelist voor beveiligingsbedrijf Kaspersky.
"De meeste sites zijn gebouwd zonder bepaalde beveiliging in te bouwen," vertelt Willems. "Je kunt er html scrips in plakken; je kunt er perfect een verwijzing naar een andere site in zetten die malicious is en je hebt daar amper de controle over. Dat is een serieus probleem."
Webdiensten hebben met enige regelmaat te kampen met XSS-gaten. In het verleden zijn onder anderen Paypal, Gmail en Salesforce.com het slachtoffer geweest van dergelijke problemen. Beveilgingsfirma Acunetix onderzocht vorig jaar 3,200 websites met online applicaties en trof daar 210.000 kwetsbare plekken aan. Dat komt neer op 66 beveiligingsgaten per applicatie.
Verantwoordelijke
De verantwoordelijk voor XSS-kwetsbaarheden is vaak lastig aan te wijzen, zegt Willems. "Het gaat te ver om de verantwoordelijkheid bij de programmeur neer te leggen." Netwerkbeheerders of hosting providers kunnen ook verantwoordelijk zijn voor dergelijke gaten.
Een woordvoerder van PCM weigerde commentaar op de problemen.
