Tien Nederlandse banken waren vatbaar voor xss-kwetsbaarheid

Beveiligingsonderzoeker Wouter van Dongen ontdekte dat zeker tien Nederlandse banken een tijdlang kwetsbaar waren voor een xss-kwetsbaarheid. Het probleem is inmiddels verholpen.

Van Dongen ontdekte het probleem toen de website van zijn eigen bank niet goed bleek te functioneren, vertelt hij aan Nu.nl. De beveilingsonderzoeker van DongIT ontdekte dat de sites van onder andere ING, ABN Amro, de Rabobank, ASN, SNS, Triodos en nog enkele andere banken vatbaar waren van een cross site scripting probleem. De xss-kwetsbaarheden bevonden zich in de voorpagina's van de bankensites en stelden kwaadwillenden in staat om eigen code te injecteren in de website, waarmee hij onwetende klanten zou kunnen verleiden op een gevaarlijke link te klikken.

Proof of concept

Het lastigste van dit probleem is dat het voor de gebruiker praktisch niet te herkennen is. Het veiligheidscertificaat van de bank wordt nog steeds weergegeven, waardoor de klant denkt zich nog in de beveiligde omgeving van de bank te bevinden. Van Dongen heeft de kwetsbaarheid niet geƫxploiteerd, maar liet wel een proof of concept-video zien, waarin hij de html-onderdelen van bekende bankensites laat trillen. Hiermee toont hij aan dat hij code in deze elementen heeft weten te injecteren. De getroffen banken zijn door Van Dongen ingelicht en hebben het probleem inmiddels weten te verhelpen.