De websites van ABN Amro, SNS Bank en Triodos zijn nog steeds kwetsbaar voor XSS-lekken (cross-site-scripting), blijkt uit onderzoek van DongIT, webontwikkeling en webbeveiliging. Een XSS-aanval is een eenvoudige manipulatie van de site waaruit blijkt dat de aanvaller complete controle over de browser heeft op bankenwebsites.
Vorig jaar onderzocht het bedrijf de sites van Nederlandse banken al. Toen bleken tien Nederlandse banken op het hoofddomein kwetsbaar zijn voor XSS. Nu bekeek het bedrijf of banken inmiddels gebruik maken van een extra beveiligingslaag zoals Content Security Policy (CSP) om een XSS-aanval te voorkomen. De sites van ABN Amro, SNS Bank en Triodos zijn dus nog steeds kwetsbaar.
‘XSS-geïnjecteerde site niet te onderscheiden van de echte’
Bij een XSS-aanval wordt een formulier in de website geïnjecteerd die niet van echt te onderscheiden is. Daarnaast lijkt het alsof het mogelijk is om in te loggen met DigiD. Vanwege het vertrouwen van het domein, bijvoorbeeld www.abnamro.nl, zullen de meeste mensen dit niet verdacht vinden. Terwijl wachtwoorden op de achtergrond naar de aanvaller worden verstuurd.
Impact XSS-aanval groot op hoofddomein
“De impact van de XSS-kwetsbaarheid is juist het grootst op het hoofddomein (bijv. www.abnamro.nl) of het bankierendomein van een bank, omdat deze bij de bezoeker bekend zijn en er banktransacties op plaatsvinden”, aldus het bericht van DongIT. “Het webadres zal er in de adresbalk ongewijzigd uitzien, inclusief het vertrouwde slotje – ondanks de aanval.”
Oplossing? Content Security Policy
Content Security Policy (CSP) kan XSS voorkomen. Met deze oplossing kan een bedrijf aangeven welk type en vanaf welke locatie recourses ingeladen mogen worden. 88,99 procent van de webbezoeken gebruikt een browser die CSP ondersteunt.
> Lees ook Htpps-protocol neemt grote vlucht