7 Nederlandse online banking sites kwetsbaar voor XSS
Beveiligingsonderzoeker Ronald van den Heetkamp van Jungsonn Studios heeft 30 online banksites van Nederlandse banken onderzocht, en kwam tot de conclusie dat er 7 kwetsbaar zijn voor cross-site scripting (XSS) aanvallen. Via de aanvallen is het mogelijk om de sessie van een gebruiker te stelen en andere content op die van de banksites weer te geven, wat weer door phishers gebruikt kan worden.
Het gaat om de sites van de Postbank, Abn Amro, SNS Bank, Fortis ASR, Delta Lloyd, Spaarbeleg en Insinger de Beaufort. Heetkamp heeft de banken nog niet ingelicht "ik verwacht er eerlijk gezegd ook weinig van" zo laat de onderzoeker tegenover Security.NL weten.
"Via cross-site scripting kunnen alle gegevens van de gebruiker gestolen worden, omdat er een zogenaamde cross domain policy is. Hierdoor worden alleen de gegevens van een gebruiker over het domein zelf beschikbaar. Als iemand een URL maakt met een link van een bank erin, zal de gebruiker niet door hebben dat informatie wordt gestolen. Die informatie kan zijn: keylogging met JavaScript, portscanning met JavaScript, het stelen van de browser geschiedenis en alle passwords uit de FireFox password manager", aldus Heetkamp.
Het is ook mogelijk om met deze methode een cascade van aanvallen te genereren via de gebruikerszijde. Met het stelen van de geschiedenis van de gebruikers (CSS en JavaScript) kan er een aanval worden gelanceerd op andere sites die ook XSS gaten hebben. (de gebruikers doet dit helemaal zelf en is dus een simpele XSS worm)
Ondergeschoven kindje
Zoals eerder gezegd kunnen phishers de aanval misbruiken. "Als er we zo'n URL maken: http://www.postbank.nl/map/index.php?var= dan word ons script in de site van de Postbank opgenomen, en heeft het script op mijn site toegang tot alles op de pagina. Zo is het mogelijk om de gebruikers te laten forceren om in te loggen, ze automatisch een download te sturen (exploit of keylogger) om zo hun verdere systeem te inspecteren." wordt ons als voorbeeld gegeven.
"Zoals je ziet is XSS een ondergeschoven kindje in web applicatie security, maar er zijn al heel wat sites hiermee gedefaced. Denk aan de MySpace XSS worm die zich onlangs verspreidde".
De betrokken banken zijn inmiddels door Security.NL ingelicht.
disclosure) is goed, maar alleen nadat een bedrijf de kans heeft gehad
om verbeteringen aan te brengen. Hij had dit pas mogen publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had gegeven om
te herstellen. Nu is hij medeverantwoordelijk als blijkt dat er van zijn
kennis misbruik wordt gemaakt.
onze website lek is?". Ik kan me er wel wat van voorstellen.
Toen ik onlangs van de ene bank naar een andere ging en die
bank vroeg WAAROM, en ik dat uitlegde hadden ze meteen
zoiets van 'slik'.... Maar dat zijn alleen de lokale mensen,
mensen die alleen beleid mogen uitvoeren, vooral niet zelf
mogen nadenken.
vooral de laatste zin:-():
"disclaimer: all info and scripts provided here are for
educational use only.
I won't be liable for any damage as a result of misusage of
the information here provided.
Any disclosure i post here is already fixed by the site
owners to prevent abuse.
I act upon the right of (free) information."
Kansloos!
1) Het 'lek' dichten.
2) Aangifte doen, nl. : hij die een technisch hulpmiddel dat hoofdzakelijk
geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf,
vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter
beschikking stelt of voorhanden hebt is strafbaar.
Zie ook het wetboek van strafrecht, artikel 139. Zeker als onderzoeker moet
je de gevaren kennen en ben je dus strafbaar in deze.
3) (optioneel) Een civiele procedure starten om eventuele schade te
verhalen op deze onderzoeker.
Immers XSS constateren is één ding er daadwerkelijk misbruik van maken
is een ander ding.
Waarschijnlijk heeft hij gewoon blind op de website zitten kijken en daaruit
kunnen concluderen dat XSS werkt.
Tenzij hij daadwerkelijk overal een rekening had lopen en zodoende de
autorisatie had kunnen testen en in dat geval had hij kunnen zien dat bij
geen enkele (voor zover ik weet) je XSS kunt gebruiken om sessies te
hijacken omdat bij de autorisatie gedeelte XSS niet misbruikt kan worden.
Ik wens Ronald van den Heetkamp veel succes met het verder
rondbazuinen van FUD, want daar kun je veel mee verdienen (bron,
mcafee, symantec etc..)
Deze informatie is vrijuit overal op internet te
verkrijgen.. google maar's wat
en 1x1=2... wees niet naief of denkje dat 't moelijk is v/e
hacker om sites te vinden!
Nu moeten de systeem beheerders wel snel reageren!! en
waarom denkje?
de Directie leest gezellig mee, 't is alleen jammer dat het
zo moet maar het werkt wel. (ik noem 't het Media syndroom)
M'n complimenten aan Jungsonn Studio's... Informatie X
Communicatie = Beveiliging !!!!!!
(wie niet 'snel' luisteren wil moet maar 'snel' voelen)
gr,
Mark v/d Heijden.
Hij had dit pas mogen publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had
gegeven om
te herstellen.
websites laten ontwikkelen. Die mensen zijn echt zo
achterlijk als het achtereind van een varken.
Ik heb vaak contact gehad met oa de Postbank, omdat ik
iedere keer weer tegen bugs aanloop. Je hebt dan contact met
mensen die niet eens weten hoe het HTTP protocol werkt, laat
staan dat ze kunnen begrijpen wat voor bugs ik probeer te
melden. Na flink wat gedoe en moeite, en heel veel emails
versturen vanaf meerdere email accounts en ip adressen is
het probleem toch opgelost, maar het niveau is echt om te
HUILEN!
Ik ben er idd voor om dingen eerst te melden, zodat ze de
tijd hebben om problemen op te lossen, maar gezien mijn
ervaring met oa de Postbank kan ik me dus voorstellen dat
"Ronald van den Heetkamp" zoiets had van: "Niet goedschiks,
dan kwaadschiks". Maar goed, ik kan niet zijn gedachten lezen.
Het gedrag van deze onderzoeker is beneden alle maat.
Openheid (full
disclosure) is goed, maar alleen nadat een bedrijf de kans
heeft gehad
om verbeteringen aan te brengen. Hij had dit pas mogen
publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had
gegeven om
te herstellen. Nu is hij medeverantwoordelijk als blijkt dat
er van zijn
kennis misbruik wordt gemaakt.
XSS is zo oud als de weg naar Rome en het is bijzonder
eenvoudig om zelf te controleren of de bedrijfswebsite hier
kwetsbaar voor is. Bovendien vinden een hoop "security
specialisten/hackers/crackers" het erg interessant om
websites te controleren op XSS aangezien je zo met minimale
inspanning je 30 seconds of fame kan verkrijgen.
Het voorbeeld uit het artikel klopt trouwens (opzettelijk,
neem ik aan) niet.
verbazingwekkend hoeveel sites er gevoelig voor zijn. Gewone
sites, webmail sites, en nu online banking. Het is niet
moeilijk om sites veilig te maken voor xxs, maar blijkbaar
heeft toch niet iedere webdesigner of programmeur de
benodigde kennis.
Verzekeringen (w.o. de AMEV). Fortis Bank en Fortis ASR hebben niet zo heel veel met elkaar te maken behalve dat ze beiden onder de Fortis vlag varen.
Vergelijk: http://www.fortisasr.nl en http://www.fortisbank.nl
gebruik maken van Internet Banking snel op de hoogte brengt
en/of gerust stelt over de mate dat de voornoemde bedreiging
is te ondervangen. Tot op heden is nog nooit een adviserend
beveiligingsbericht van de bank uitgegaan naar zijn klanten.
Valse schaamte is hierin misplaatst. Hackers zijn
vindingrijk en vaak zeer deskundig; ook banken kunnen niet
alles ondervangen en zullen ook slachtoffer worden van
Internet aanvallen. Nalatigheid verwijten is misplaatst;
onvoldoende informatie verstrekking is terecht.
Ben ik nou de enige die niet aan online bankieren doet omdat
ik de risico's (als deze) gewoon te groot vind ? Blijkbaar
gaat gemak vaak voor veiligheid .... ook als het om
bankzaken gaat.
hebben geen vervoersmiddelen.
zoals ik,kuch.
mijn bank is 4.6 KM verderop, en als ik dat moet lopen, heb
ik een hernia,
onee, die heb ik..
vaak is het zo, dat via email gevraagd wordt om blabla te
doen met veiligheids perikelen, dus als iemand zo stom is om
daar in te trappen.
...
ja, het is een hele ethische discussie "full-disclosure".
Normaliter wanneer ik fouten vind, breng ik de webmasters op
de hoogte. Punt is, dan "patchen" ze 1 gat, en blijft de
rest openstaan omdat ze zoiets hebben van: "ach, het zal wel
goed zijn zo.". Want geloof me maar dat er veel meer te
vinden was op al die banking sites.
Het gaat me in dit geval om de media aandacht richting
banken. Ik neem daarbij een risico, maar het belang van de
consumenten en klanten van banken (ook ikzelf) hebben recht
om te weten wat er allemaal speelt, en om dwangmatig de
developers van de betreffende websites is kritisch te laten
kijken naar hun applicaties.
Ik hoop hiermee te bewerkstelligen dat ze nu elk script
nalopen. Ik wilde graag een phishing XSS exploit voorbeeld
maken op basis van een lek van 1 van de banken. Maar ik denk
dat ik daar te ver mee was gegaan, vandaar dat ik alleen de
clientside Alert('XSS') liet zien. Hiermee kan niets
gebeuren. Het is alleen ter indicatie van.
Helaas zijn het niet alleen banken waar de webapplicatie
beveilging schort, uit onderzoek is gebleken dat 8 van de 10
websites hiermee te maken hebben. De meeste developers zien
het als een triviaal iets, en denken dat het wel mee zal
vallen. Even Googlen wijst anders uit. Op dit moment zijn er
zelfs XSS wormen in de maak. Stel voor dat een website als
MySpace ge-injecteerd wordt met een XSS worm. miljoenen
surfers... Erger nog, het is al gedaan.
XSS is inderdaad al heel oud, het bestaat sinds JavaScript
zelf. Dit geeft destemeer aanwijzing dat developers hun
kennis toch niet helemaal op orde hebben. Daarnaast moet ik
ook aangeven dat veel banken wel de webapplicatie
beveiliging voor XSS op orde hebben; mijn hulde aan die
banken en hun developers.
Daar gaan we weer :-(
Ben ik nou de enige die niet aan online bankieren doet omdat
ik de risico's (als deze) gewoon te groot vind ? Blijkbaar
gaat gemak vaak voor veiligheid .... ook als het om
bankzaken gaat.
hoe vaak gaat er nou echt wat mis dan? dat er iets mogelijk
is betekend niet dat het opeens iedereen bakken met geld
gaat kosten. over het algemeen vergoeden banken de schade toch.
Bedankt voor alle reacties, interessant om ze te lezen. En
ja, het is een hele ethische discussie "full-disclosure".
Normaliter wanneer ik fouten vind, breng ik de webmasters op
de hoogte. Punt is, dan "patchen" ze 1 gat, en blijft de
rest openstaan omdat ze zoiets hebben van: "ach, het zal wel
goed zijn zo.". Want geloof me maar dat er veel meer te
vinden was op al die banking sites.
...
Niks ethisch, het is gewoon strafbaar.
Geef even je bankrekeningnummer, dan hebben we iets om beslag op te
leggen als het fout gaat dankzij je publicatie.
Het gedrag van deze onderzoeker is beneden alle maat. Openheid (full
disclosure) is goed, maar alleen nadat een bedrijf de kans heeft gehad
om verbeteringen aan te brengen. Hij had dit pas mogen publiceren
nadat hij de banken had geïnformeerd en hen enige tijd had gegeven om
te herstellen. Nu is hij medeverantwoordelijk als blijkt dat er van zijn
kennis misbruik wordt gemaakt.
hoogte is van deze lacune in de beveiliging, maar men doet er nog steeds
niets aan. Op een gegeven moment wordt het gewoon tijd om dit publiek te
maken. Als ex-ING-er mag ik dat op basis van mijn oude arbeidscontract
niet doen. Ik ben blij dat er anderen zijn dit wel mogen doen en ook doen.
hoe vaak gaat er nou echt wat mis dan? dat er iets mogelijk
is betekend niet dat het opeens iedereen bakken met geld
gaat kosten. over het algemeen vergoeden banken de schade
toch.
Het gaat mij er niet om hoe vaak het daadwerkelijk mis gaat,
maar het (veel) grote(re) risico DAT het mis kan gaan (Ik
heb ook nog nooit pech gehad met m'n auto, maar ben toch al
9 jaar ANWB lid). Een onveilig medium als internet is (naar
mijn mening) niet geschikt voor belangrijke dingen als
bankzaken. Ik verbaas me dan ook keer op keer op populair
die diensten zijn.
Heb je links naar informatie waar staat dat banken dit soort
schades vergoeden ? Ik was juist in de veronderstelling
altijd gehoord/gelezen te hebben dat schade op kosten van de
klant zijn (Nog een reden om het niet te vertouwen: De bank
heeft blijkbaar zo weinig vertrouwen in hun eigen product
dat ze eventuele schade zelfs niet vergoeden).
zijn die zeggen;
iemand die dit publiceert is strafbaar ?!?
Ga dan naar China daar is alles strafbaar ja dus ook als er
NIKS gebeurt.
Moeten 'Mensen' dan wachten totdat ze de dupe zijn en hun
geld richting Rusland zien verdwijnen, of moeten we dan
wachten totdat Zij hun zaakjes ooit eens op orde hebben en
ja met z'n alle lekker stil zijn totdat die tijd-bom ontploft!
Ik ben heden ten dage voorzichtiger geworden met
online-bankieren....
Waarom denkje?
Wat was die naam van die mooie open source uitvinding ook weer?
Ohja.......Internet@
Heb je links naar informatie waar staat dat banken dit soort
schades vergoeden ? Ik was juist in de veronderstelling
altijd gehoord/gelezen te hebben dat schade op kosten van de
klant zijn (Nog een reden om het niet te vertouwen: De bank
heeft blijkbaar zo weinig vertrouwen in hun eigen product
dat ze eventuele schade zelfs niet vergoeden).
Unquote/
Dit klopt inderdaad. Mijn bank zegt middels de voorwaarden
dat de gebruiker zelf eind-verantwoordelijk is. Ik weet niet
of dit overal het geval is.
De Postbank & Delta Lloyd zijn de laatste twee die nog
vatbaar zijn. De rest heeft de lekken gedicht. Zo zie je
maar dat een beetje media aandacht toch goed kan uitpakken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.