Overschrijven style sheet biedt hacker verregaande mogelijkheden

De PRSSI-fouten zijn gesignaleerd door Gareth Heyes, die ze aanduidt als 'relative path overwrites'. Het misbruik ervan is gebaseerd op de mogelijkheid om site zo ver te krijgen dat deze een bestaande Cascading Style Sheets (CSS) overschrijven met een door de hackers opgemaakte malafide CSS. Dat voor elkaar te krijgen, vergt de nodige kennis van scripting en gebruik van style sheets.

Redactie AG ConnectMeer van deze auteur

Hoe het, in een gefingeerd geval, in z'n werk zou kunnen gaan, wordt en detail beschreven door de nieuwssite The Register.

Voorbeelden van daadwerkelijk misbruik van PRSSI-kwetsbaarheden zijn niet bekend. Maar juist door het ogenschijnlijk wat vergezochte karakter ervan is de kans groot dat auditors en screening-gereedschappen er niet echt op hebben gelet. Daarom is volgens webbeveiliger PortSwigger de eenvoudigste manier om de kwetsbaarheid te vermijden dan ook in veel gevallen waarschijnlijk niet het nog diepgaander analyseren van de code achter elke site. In plaats daarvan bepleit Port Swigger een viertal simpele maatregelen:

vermijd padafhankelijke links
zet op alle pagina's de X-Frame-opties van server header op 'deny'
zet op alle pagina's de X-Content-type-opties van server header op 'nosniff'
gebruik van up-to-date bestandsformaten voor documenten

De strategie van succesvolle organisaties: single source of truth voor alle medewerkers

Welke strategie hanteren succesvolle organisaties en hoe draagt het hanteren van 1 ‘single source of truth’ bij aan efficiëntie en groei?

3 min

Achtergrond Klanttevredenheid Partner

Doen wat je belooft, hét uitgangspunt voor klanttevredenheid

Hoe versterk je klantrelaties, waarborg je klanttevredenheid en voer je succesvolle projecten uit?

1 min

Achtergrond ACM Partner

TP:Talks - ACM richt vizier op drie kernpunten voor de telecomsector

De Autoriteit Consument & Markt (ACM) heeft haar focus voor 2025 en 2026 duidelijk bepaald.

2 min

Meer whitepapers

Whitepaper Artificial Intelligence

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Marketing

High impact business stories creëren

De route naar de zakelijke beslisser.

Whitepaper Development

Softwareontwikkeling in de cloud

Dit e-book gaat in op vijf praktische richtlijnen voor het succesvol ontwikkelen van software in de cloud. Elk hoofdstuk bevat concrete tips en handvatten voor het inrichten van je cloud.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee