Hacker claimt XSS-lekken in overheidssites
Gepubliceerd: Vrijdag 19 oktober 2007
Auteur: Michiel van Blommestein
Een beveiligingsspecialist beweert dat verschillende overheidssites vatbaar zijn voor aanvallen met cross-site scripting (XSS), en mogelijk ook voor SQL-injecties.
Jacco van Tuijl, die het onderzoek op persoonlijke titel uitvoerde, zegt dat hij zes a zeven kwetsbaarheden heeft gerapporteerd bij overheidsbeveiliger GovCert, maar dat hij er meer ontdekt heeft. Het zou gaan om sites van onder andere het Ministerie van Justitie. Geen van de sites zou een database bevatten.
De onderzoeker heeft ook soortgelijke lekken gevonden in sites van beveiligingsbedrijven en opleiders.
Van Tuijl meldt ook dat hij vermoedt dat een SQL-injectie in een aantal gevallen mogelijk is. "Ik voegde een komma in de URL in waar hij niet hoorde, en ik kreeg een 'serverside error' terug", zegt hij. Van Tuijl durfde een daadwerkelijke SQL-injectie niet aan.
Om welke sites het precies gaat, wil van Tuijl niet zeggen. Ook heeft hij voorlopig afgezien van full-disclosure, maar tegen security.nl zegt hij dat hij het wel zal overwegen als de lekken niet gedicht worden. "Dan zal ik hen door middel van full disclosure dwingen de lekken de dichten," zegt hij op de site. Hij post verdere updates over het geval op een forum.
Een woordvoerder van GovCert bevestigt de melding, en zegt dat de betreffende sites zijn gewaarschuwd. Met XSS kunnen kwaadwillenden de 'same origin policy' omzeilen, zodat ze de website van buitenaf kunnen beinvloeden.
Bron: Techworld
