image

Webwinkels aangevallen met bestellingen die XSS-code bevatten

donderdag 29 april 2021, 15:12 door Redactie, 4 reacties
Laatst bijgewerkt: 29-04-2021, 16:11

Webwinkels in Japan zijn het doelwit geworden van een groep criminelen die bestellingen plaatst die cross-site scripting (XSS)-code bevatten waarmee onder andere klantgegevens worden gestolen, zoals creditcarddata. Dat meldt antivirusbedrijf Trend Micro in een analyse.

De aanvallers plaatsen een bestelling bij de webwinkels met XSS-code. Zodra de beheerder de bestelling in de backend van een kwetsbare webshop bekijkt wordt de XSS-code uitgevoerd. Deze code leidt tot verschillende aanvallen, zoals het toevoegen van een webshell aan de webshop voor verdere aanvallen, het doorsturen van de beheerder naar een phishingsite en het aanbieden van malware. De aanval met een webshell is alleen waargenomen bij webwinkels die op het EC-CUBE-framework zijn gebaseerd.

De onderzoekers merken op dat de aanvallers het niet op één specifiek e-commerceplatform hebben voorzien. Als de webwinkelsoftware kwetsbaar is voor XSS-aanvallen wordt het malafide script, zodra de bestelling wordt geopend, in het beheerderspaneel, geladen en uitgevoerd. Vervolgens kan de code de beheerder naar een malafide pagina doorsturen waar wordt geprobeerd om inloggegevens te stelen of malware wordt aangeboden.

De aanvallen zijn voor zover bekend alleen tegen Japanse webwinkels gericht. Bij één van de getroffen webshops wisten de aanvallers uiteindelijk klantgegevens te stelen, waaronder creditcardnummers, verloopdatums en beveiligingscodes. Volgens de onderzoekers lijkt het de aanvallers dan ook te doen om creditcardgegevens. Dergelijke XSS-aanvallen worden zelden gemeld. In 2017 waren Magento-webshops doelwit van een soortgelijke aanval.

Image

Reacties (4)
29-04-2021, 15:34 door Anoniem
Los van dat XSS eenvoudig te voorkomen is en geen enkele webwinkelsoftware de basale fout zou moeten bevatten om het blokkeren ervan over te slaan, laat dit ook zien hoe kwetsbaar de keuze is geweest om applicatie-interfaces te gaan bouwen met iets dat ontworpen was om (statische) hypertextdocumenten op te maken. Net als bij een ouderwetse non-web-UI zou helemaal niets in de data die de applicatie toont als onderdeel van de UI-opbouw moeten worden kunnen geïnterpreteerd. Daar lopen twee verschillende dingen door elkaar die helemaal niet door elkaar moeten lopen.
29-04-2021, 16:58 door Anoniem
Als preventie tegen XSS-aanvallen.

Zorg voor correcte validatie en filter vervolgens op gebruikers-input; encodeer output data; gebruik de juiste response headers. Tenslotte als laatste verdedingslinie dient een juist geconfigueerde CSP.

#sockpuppet
30-04-2021, 12:29 door Anoniem
HTML escape notaties leren opdreunen.
30-04-2021, 16:01 door Anoniem
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.