Afgelopen week bleek dat de website van de Nederlandse Politiebond (NPB) vatbaar was voor SQL-injectie. Daarmee is het mogelijk om commando's voor SQL in te geven in bijvoorbeeld de url en zo de database uit te lezen. Een hacker van Anonymous kraakte daarmee de gebruikersdatabase en plaatste die online.

Cross site scripting

Om de ramp nog groter te maken kraakte een ander anoniem persoon een dag later alle wachtwoorden om die vervolgens ook te publiceren. Om het lek te dichten, sloot de NPB drie dagen lang de website.

De site is weer live, maar nog steeds vol gaten. Het is inmiddels niet langer mogelijk om SQL-injectie uit te voeren maar nu blijkt cross site scripting nog wel mogelijk.

Met die techniek wordt een stuk html via bijvoorbeeld de url of een invulveld in de pagina geplaatst. Dat kan als een website niet goed valideert wat er ingevoerd wordt of door een fout in een script. Zo is het mogelijk om bijvoorbeeld tekst of afbeeldingen op een website te plaatsen.

Cms filtert niet

Dat is exact wat veel Twitteraars nu doen met de website van de Nederlandse Politiebond. Zij plaatsen verschillende teksten en foto's, vaak grappig bedoeld, op de website. Dat kan door de manier waarop de site van de NPB is opgebouwd. Achter veel links staat namelijk een 'lokatie_id' die leeg blijft. Door daar via de url-structuur html achter te plaatsen komt een tekst (of afbeelding) bij iedere link te staan.

Ook bij de sub_id, die geldt voor de veelgestelde vragen, gaat het fout. Door achter het nummer voor de categorie gelijk een afbeelding of tekst te plaatsen, komt die afbeelding of tekst ook gewoon in de foutmelding op de webpagina die aangeeft dat die id niet bestaat te staan. Het cms van de vakbond filtert dus niets.

Script uitvoeren

In eerste instantie kan het toevoegen van tekst op een website weinig kwaad, al kan een gebruiker vreemd opkijken als hij op een bewerkte link klikt. Het is echter erger als een kwaadwillende geen afbeelding of tekst maar een script toevoegt. Zonder filtering worden deze scripts simpelweg ook uitgevoerd.

Vervolgens is het voor een hacker mogelijk om bijvoorbeeld het cookie uit te lezen en op die manier de sessie van een gebruiker te stelen. Zo is het mogelijk om als iemand anders op een site in te loggen en bijvoorbeeld zijn of haar gegevens aan te passen. Het is Webwereld onbekend of de website van de Politiebond met zo'n sessie cookie werkt.

Bij de Nederlandse Politiebond was op zondagavond niemand aanwezig om te reageren. Webwereld heeft de vakbond voor politieagenten wel per e-mail op de hoogte gesteld van het euvel.