Beheer

Security

Hack via cross site scripting blijft verbluffend eenvoudig

21 november 2014
Dat hackers altijd op de loer zijn naar cross-site scripting-lekken, dat weet iedereen eigenlijk wel. Maar de risico's en de consequenties ervan worden nog steeds ernstig onderschat.

Die waarschuwing uit beveiligingsbedrijf High-Tech Bridge in een blog. Algemeen directeur Ilia Kolochenko signaleert dat penetratiepogingen via SQL-injectie en andere geavanceerde inbraaktechnieken het meer en meer afleggen tegen cross-site scripting (XSS): "Die zijn lastig te vinden en het kost vaak veel tijd om er misbruik van te maken. Tezelfdertijd maakt bijna niemand zich druk om 'middelriskante' XSS-kwetsbaarheden. Het moge duidelijk zijn dat hackers van die onachtzaamheid profiteren en XSS-kwetsbaarheden gebruiken om hun doel te bereiken. Als je de deur dichtdoet, moet je niet vergeten de ramen te sluiten - anders is je hele beveiliging in gevaar."

Eén lekje maakt hele webdomein kwetsbaar

Waar het volgens High-Tech Bridge fout gaat is, dat men zich niet realiseert dat één XSS-kwetsbaarheid, ook als die in een subdomein zit, de hele webinfrastructuur van een organisatie kwetsbaar maakt. Velen denken dat ze met het cross-site request forgery-mechanisme de risico's van ongeautoriseerde toegang hebben geneutraliseerd. Maar als een hacker via een XSS-kwetsbaarheid binnekomt, helpt dat meestal niet. Onderzoek wijst uit dat 95 procent van de cross-site request forgery-beschermingsconstructies via XSS te omzeilen zijn.

Het vertrouwen op Web Application Firewalls om problemen te voorkomen is ook wat naïef, stelt High-Tech Bridge. Via verdoezelingstechnieken zijn die vaak voor het lapje te houden, en ze werken ook niet tegen XSS-code die interactie met een bezoeker wordt binnengesmokkeld. Die laatste route is volgens onderzoek goed voor 30 procent van de XSS-code die op operationele websites wordt aangetroffen.

Doelwit makkelijk te misleiden

Het is ook een misverstand om te denken dat het heel lastig is om een doelwit op een site met besmettingsgevaar te krijgen. 90 procent van de kwetsbaarheden is te misbruiken op een manier die zelfs geoefende IT-professionals niet doorzien, 95 procent van de XSS-kwetsbaarheden kan gebruikt worden via links die het doelwit vertrouwt, aldus High-Tech Bridge

De gevolgen zijn vaak ernstig. 70 procent van de websites kent een architectuur waarbij de beheerder ongelimiteerd toegang heeft tot de functionaliteit van de site. Een XSS-achterdeurtje in een subdomein in een vergeten hoekje van het bedrijf kan daardoor ernstige consequenties krijgen.

Programmeurs niet alert genoeg

Webprogrammeurs zijn zich vaak ook onvoldoende bewust van de risico's op XSS die ze in hun code aanbrengen als ze niet heel zorgvuldig programmeren. Meer dan 90 procent van de meest bekende websites blijkt XSS-kwetsbaarheden te bevatten.

High-Tech Bridge adviseert uitbaters van websites daarom met klem een aantal basale maatregelen te nemen:

  • Leg webontwikkelaars uit dat één XSS-kwetsbaarheid het hele bedrijf in gevaar kan brengen.
  • Zorg ervoor dat webontwikkelaars en systeembeheerders de 'best practices' op beveiligingsgebied respecteren.
  • Zorg dat de IT-afdeling overzicht heeft en houdt over alles dat op het web gedaan wordt, en dat testsites of afgestoten sites niet toegankelijk blijven vanaf het web.
  • Vertrouw niet op de Web Application Firewall als enig beveiligingsmechanisme.
  • Laat regelmatig penetratietesten uitvoeren.

Meer ins en outs over de problemen met XSS zijn te vinden op de website van High-Tech Bridge.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.