Beveiligingsonderzoeker Wouter van Dongen heeft opnieuw onderzoek uitgevoerd naar de beveiliging van websites van Nederlandse banken. Daarbij bleek dat drie banken kwetsbaar blijken te zijn voor xss-aanvallen, iets wat voorkomen kan worden door gebruik van csp.

Gevonden xss-kwetsbaarheden bij banken

In het uitgevoerde onderzoek stelt Wouter van Dongen verder dat csp slechts door vier van de veertig onderzochte bankdomeinen wordt toegepast. Tegenover Nu.nl meldt de onderzoeker dat hij xss-lekken heeft vastgesteld bij Triodos, SNS Bank en ABN Amro. Daardoor was hij in staat om scripts in de sites te injecteren, waardoor het bijvoorbeeld voor de bezoeker leek alsof inloggen met DigiD mogelijk zou zijn. Door vervolgens ook daadwerkelijk gegevens in te vullen, stuurt de bezoeker deze gegevens door naar de aanvaller. De aanval is te zien in een video. Van Dongen laat aan Tweakers weten dat de onderzoeken handmatig zijn uitgevoerd en dat van de veertig onderzochte domeinen de drie banken nader zijn onderzocht en op de hoogte zijn gesteld.

Triodos loste het probleem meteen op. ABN Amro liet een maand op zich wachten met een reactie en kwam alleen in actie na navraag door Nu.nl, zo schrijft de site. Daarna stapte de bank ook af van het standpunt dat het de verantwoordelijkheid van een leverancier was om het lek te verhelpen. SNS Bank besloot de onderzoeker niet te belonen voor zijn melding toen bleek dat hij met de gevonden lekken naar buiten zou treden. Een woordvoerder van SNS legt aan Tweakers uit dat deze beslissing is genomen omdat Van Dongen voordat het lek was opgelost al contact zou hebben gezocht met een journalist. Dit zou tegen de regels van de meldingsprocedure van SNS ingaan. “Uiteraard hebben wij hem bedankt voor zijn werk”, voegt de woordvoerder daaraan toe.

Een woordvoerder van ABN zegt dat de melding van Van Dongen in eerste instantie niet op de juiste manier is opgepakt. Er wordt nog uitgezocht op welke manier dit heeft kunnen gebeuren. De bank meldt verder dat veilig bankieren voorop staat en dan dit soort meldingen dan ook zeer gewaardeerd worden. De eerdere melding over de verantwoordelijkheid van leveranciers was inderdaad niet correct, zo vertelt de woordvoerder. De verantwoordelijkheid zou volledig bij ABN liggen.

Van Dongen vertelt verder aan Tweakers: “Veel mensen doen vrij luchtig over xss-lekken, maar juist bij banken kunnen deze een grote impact hebben. Daarnaast zouden banken eigenlijk over websites met de beste beveiliging moeten beschikken.” Voor het verschijnsel dat banken het eenvoudig in te voeren content security policy dan niet massaal gebruiken, heeft hij niet direct een verklaring: “Vaak wordt gezegd dat er geen misbruik van wordt gemaakt en dat het daarom geen probleem is. Maar in het verleden is aangetoond dat bankenwebsites wel degelijk doelwit zijn van dit soort aanvallen. Dus om te zeggen dat het niet gebeurt, is geen argument.”

XSS: Cross-Site Scripting

Xss, of cross-site scripting, bestaat al vrij lang maar blijft een probleem voor websites. Het probleem is aan te pakken via csp, dat ervoor zorgt dat alleen content van vertrouwde locaties op een website ingeladen kan worden. De standaard is niet nieuw, deze stamt uit 2004.

Van Dongen heeft in 2015 eenzelfde soort onderzoek uitgevoerd, toen stelde hij xss-kwetsbaarheden vast bij tien Nederlandse en Belgische banken. Ook de huidige drie banken waren toen kwetsbaar. De domeinen die in het huidige onderzoek wel gebruikmaken van csp zijn het bankieren-domein van de Rabobank, het login-domein van Van Lanschot en alle twee domeinen van Knab.


Bovenstaande bijdrage is geschreven door  Sander van Voorst en verscheen op Tweakers.net.

Guardian360 Quickscan

Wilt u weten of uw website kwetsbaar is voor XSS? Doe dan de Guardian360 Quickscan en krijg direct een rapport met bevindingen van hoe uw website scoort op security.