Websites banken nog steeds slecht beschermd tegen XSS-fouten

Dat stelt het Leidse IT-bedrijf DongIT, dat vorig jaar al na een onderzoek constateerde dat veel sites van banken XSS-fouten bevatten en dat Content Security Policy daarbij ontbrak. Het onderzoek leidde uiteindelijk tot Kamervragen en geruststellende antwoorden van minister Dijsselbloem dat cross site scripting “vaker is geconstateerd en eerder aangepakt door de banken.”

DongIT heeft onlangs 40 hoofd- en bankierendomeinen van Nederlandse banken onderzocht op het gebruik van CSP maar vond er maar 4 die het al gebruiken: Rabobank voor 1 domein, Knab op 2 domeinen en Van Lanschot op 1 site. Bovendien werden nog altijd XSS-fouten aangetroffen.

Met CSP kan aangegeven worden welke types resources vanaf welke locatie ingeladen mogen worden. Bijna 90 procent van de webbezoeken gebeurt met een browser die CSP ondersteunt.

Wouter van Dongen, directeur van DongIT, is verbaasd over de slechte resultaten. “Cross Site Scripting komt zo veel voor. Het staat al jaren bovenin de OWASP-top 10. En met CSP kun je heel goed een extra beveiligingslaag creëren. Je kunt niet alle kwetsbaarheden voorkomen maar het zorgt wel voor flinke mitigatie van de effecten.”

Waarom juist banken die maatregel niet treffen, is hem niet duidelijk. “Er komt wel wat kijken bij de implementatie van CSP maar een bank heeft daar echt wel de IT-capaciteiten voor.”

DongIT laat in een demo zien hoe het mogelijk is om op de internetbankierensite van ABN Amro een formulier te injecteren terwijl de URL met https en een slotje ervoor gewoon in stand blijven.