Overslaan en naar de inhoud gaan

Websites banken nog steeds slecht beschermd tegen XSS-fouten

Dat stelt het Leidse IT-bedrijf DongIT, dat vorig jaar al na een onderzoek constateerde dat veel sites van banken XSS-fouten bevatten en dat Content Security Policy daarbij ontbrak. Het onderzoek leidde uiteindelijk tot Kamervragen en geruststellende antwoorden van minister Dijsselbloem dat cross site scripting “vaker is geconstateerd en eerder aangepakt door de banken.”
Foute code
© Pixabay CC0
Pixabay CC0

DongIT heeft onlangs 40 hoofd- en bankierendomeinen van Nederlandse banken onderzocht op het gebruik van CSP maar vond er maar 4 die het al gebruiken: Rabobank voor 1 domein, Knab op 2 domeinen en Van Lanschot op 1 site. Bovendien werden nog altijd XSS-fouten aangetroffen.

Met CSP kan aangegeven worden welke types resources vanaf welke locatie ingeladen mogen worden. Bijna 90 procent van de webbezoeken gebeurt met een browser die CSP ondersteunt.

Wouter van Dongen, directeur van DongIT, is verbaasd over de slechte resultaten. “Cross Site Scripting komt zo veel voor. Het staat al jaren bovenin de OWASP-top 10. En met CSP kun je heel goed een extra beveiligingslaag creëren. Je kunt niet alle kwetsbaarheden voorkomen maar het zorgt wel voor flinke mitigatie van de effecten.”

Waarom juist banken die maatregel niet treffen, is hem niet duidelijk. “Er komt wel wat kijken bij de implementatie van CSP maar een bank heeft daar echt wel de IT-capaciteiten voor.”

DongIT laat in een demo zien hoe het mogelijk is om op de internetbankierensite van ABN Amro een formulier te injecteren terwijl de URL met https en een slotje ervoor gewoon in stand blijven.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in