Al een aantal jaar is er een discussie gaande of XSS (Cross Site Scripting) wel of niet gevaarlijk is. Daarom onze vraag, is XSS gevaarlijk?
Webwereld plaatste vorig jaar een artikel waarin staat dat de meeste XSS lekken vaak ongevaarlijk zijn. Het is een interview met Eddy Willems, beveiligingsexpert bij Kaspersky. Hij zegt:
“De ernst van het lek wordt soms uit zijn verband wordt gerukt”, zegt Willems. Volgens hem is de mogelijkheid voor het uitvoeren van een xss-aanval nog niet wil zeggen dat er sprake is van een heel groot gevaar. “Dat is compleet misplaatst.” Volgens Willems toont de mogelijkheid wel aan dat er “een gaatje” is. “Maar dat gaatje is niet altijd de doorgang tot de grote database of tot het misbruiken van bepaalde gegevens die op de site staan. Soms denk ik: ocharm jongens, waar maken we ons hier eigenlijk druk over?”
Sinds januari 2010 hebben wij op zo’n 100 websites XSS-injecties gevonden. De reactie van Willems is dan ook onzin in onze ogen. Vooral de laatste zin vinden wij zeer misleidend.
Het hele doel van een XSS-injectie is het misleiden van een gebruiker. Een simpel voorbeeld:
Bedrijf Water heeft een website. Binnen de website zit een administratie-paneel, waarin medewerkers van het bedrijf orders kunnen plaatsen. Dit zit in een afgesloten gedeelte, om hierop te komen moet iemand zijn ingelogd. Op de website van het bedrijf staat ook informatie voor klanten/bezoekers. Om het bezoekers makkelijk te maken heeft het bedrijf ervoor gekozen om een zoekmachine in te bouwen, zodat bezoekers snel iets op kunnen zoeken.
Binnen deze zoekmachine zit de mogelijkheid tot een XSS-injectie. Hacker Phate heeft de mogelijkheid tot deze XSS-injectie gevonden en heeft een e-mail adres te pakken van een van de medewerkers van het bedrijf. Hij stuurt de medewerker een mail met daarin een URL, en met de vraag of de medewerker hier even naar kan kijken. Omdat de URL precies eruit ziet als hun eigen domein, klikt ze hier op. Er wordt gevraagd om in te loggen. De medewerker kijkt naar de URL en ziet hun eigen domein erin staan. De medewerker vertrouwd dit, en logt in met zijn gegevens. De hacker krijgt 5 seconden later een e-mail, met daarin de zojuist ingevulde gegevens. De medewerker krijgt de melding dat het inloggen is mislukt, en of hij nog een keer wilt inloggen. Hij wordt doorgestuurd naar het eigenlijke systeem, logt in, en vergeet het hele voorval. De hacker kan nu ook inloggen, en download alle klant-gegevens van het bedrijf. Vervolgens chanteert hij het bedrijf, en moet het bedrijf hem een paar ton betalen, voordat de gegevens worden verkocht op de zwarte markt….
In de praktijk komt bovenstaande situatie niet dagelijks voor. Toch kan het voorkomen, al dan niet in een kleinere vorm. Laatst kwam er een brief naar buiten van het Erasmus MC, waarin staat dat 10% van de werknemers (een kleine 1450 man) in een phishing mail was getrapt. Wat als de mail dusdanig was opgezet, dat het met een écht domein was en niet met een nep domein? Hoeveel procent zou er dan in hebben getrapt?
Ons antwoord op de vraag “Is XSS gevaarlijk” is een volmondig ja!
Het is mogelijk om te reageren op deze post. Houd het netjes 