Websites banken nog steeds slecht beschermd tegen XSS-fouten
DongIT heeft onlangs 40 hoofd- en bankierendomeinen van Nederlandse banken onderzocht op het gebruik van CSP maar vond er maar 4 die het al gebruiken: Rabobank voor 1 domein, Knab op 2 domeinen en Van Lanschot op 1 site. Bovendien werden nog altijd XSS-fouten aangetroffen.
Met CSP kan aangegeven worden welke types resources vanaf welke locatie ingeladen mogen worden. Bijna 90 procent van de webbezoeken gebeurt met een browser die CSP ondersteunt.
Wouter van Dongen, directeur van DongIT, is verbaasd over de slechte resultaten. “Cross Site Scripting komt zo veel voor. Het staat al jaren bovenin de OWASP-top 10. En met CSP kun je heel goed een extra beveiligingslaag creëren. Je kunt niet alle kwetsbaarheden voorkomen maar het zorgt wel voor flinke mitigatie van de effecten.”
Waarom juist banken die maatregel niet treffen, is hem niet duidelijk. “Er komt wel wat kijken bij de implementatie van CSP maar een bank heeft daar echt wel de IT-capaciteiten voor.”
DongIT laat in een demo zien hoe het mogelijk is om op de internetbankierensite van ABN Amro een formulier te injecteren terwijl de URL met https en een slotje ervoor gewoon in stand blijven.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee