Op Geenstijl is vandaag een posting geplaatst waarin aandacht wordt besteed aan mogelijk het zoveelste probleem met Werk.nl, een “XSS-gat” (wat dat dan ook moge wezen). In de posting wordt senior security expert Sander van Meggelen aangehaald die hierover het volgende zegt:
LOL! Dat ziet er uit als een Cross site scripting lek. Je hoeft niet hele uitgebreide hacks0r-skills te hebben om onder meer sessiecookies te bekijken, een sessie van een gebruiker over te nemen, de functionaliteit van een website te verrijken of onbedoelde acties voor een gebruiker uitvoeren. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt niet afdoende wordt gevalideerd en hierdoor in de uitvoer terecht komt naar de eindgebruiker.
Right… Dat klinkt voor het grootste deel als volledige abacadabra, maar als het betekent dat gegevens van Werk.nl gebruikers gecompromitteerd kunnen worden dan is dit daadwerkelijk een groot probleem. Laten we hopen dat het een storm in een glas water is en anders per direct door UWV wordt gecorrigeerd.
Op naar het volgende probleem met Werk.nl…
Maarten Wienbelt
says:Dirk, briljant! Laten we de verbeteringen samen met Marc dan maar gratis gaan implementeren. Het duurt nu wel lang allemaal. Ik heb maandag tijd om te zitten zodat dinsdag alles weer draait met betere functionaliteit.
@marc kun jij ook maandag?
Dirk Goossens
says:Marc, kun je maandag?
Dirk Goossens
says:XSS is best cool. Als WERK.nl een XSS-lek heeft dan kun je een hyperlink bakken die volledige controle geeft over wat de pechvogel die erop klikt te zien krijgt. Met een keurig beveiligde verbinding.
Als het XSS-lek gepaard gaat met de mogelijkheid om gegevens op te slaan, bijvoorbeeld in een forum, dan heb je controle over alles wat iedereen die naar die forumpagina gaat te zien krijgt en kan doen.
Met beide methoden kun je persoonlijke gegevens bemachtigen, waaronder inloggegevens, je kunt een eventuele kassa vervangen door je eigen kassa en je kunt, als je met het lot van de WERK.nl bezoekers begaan bent, functionaliteitsverbeteringen doorvoeren.
Wouter
says:Naar mijn mening kan dit alles alleen nog maar opgebouwd worden als alles de prullenbak in gaat en technologie wordt ingekocht. Hebben ze in de UK ook gedaan. Monster biedt daar, maar ook in een aantal US-states, technologie die hier best op zou kunnen passen. Niet meer zelf proberen te bouwen, maar inkopen en verantwoording bij de derde partij houden.
Hier het voorbeeld: https://jobsearch.direct.gov.uk/ Ook deze site ligt wel eens onder vuur, maar dat is niet te vergelijken met de info die de laatste tijd over werk.nl naar buiten komt.