Bankenwebsites en XSS: tijd voor CSP

In januari 2015 heeft DongIT aangetoond dat 10 Nederlandse banken op het hoofddomein (bijv. www.abnamro.nl) kwetsbaar waren voor cross-site-scripting (XSS). Ruim een jaar later heeft DongIT een nieuw onderzoek uitgevoerd, zo melden Nu.nlTweakers.net en AG Connect, om te bekijken of banken inmiddels gebruik maken van een extra beveiligingslaag, Content Security Policy, om herhaling te voorkomen.

De impact van deze kwetsbaarheid is juist het grootst op het hoofddomein (bijv. www.abnamro.nl) of het bankierendomein van een bank, omdat deze bij de bezoeker bekend zijn en er banktransacties op plaatsvinden. Het webadres zal er in de adresbalk ongewijzigd uitzien, inclusief het vertrouwde slotje – ondanks de aanval. Vanwege het vertrouwde karakter kan je de bezoeker laten geloven dat zij bijvoorbeeld kunnen inloggen met DigiD, op de achtergrond worden de gegevens naar de aanvaller verstuurd.

Bij het onderzoek zijn opnieuw XSS-kwetsbaarheden aangetroffen op de hoofddomein van ABN Amro, SNS bank en Triodos.

Download het artikel:

Bankenwebsites en XSS: tijd voor CSP 1.0

Voorbeeld van een XSS-aanval bij ABN Amro. Er wordt een formulier in de website geïnjecteerd die niet van echt te onderscheiden is. Daarnaast lijkt het alsof het mogelijk is om in te loggen met DigiD. Vanwege het vertrouwen van het domein www.abnamro.nl zullen de meeste mensen dit niet verdacht vinden dat ingelogd kan worden met DigiD. Wachtwoorden worden op de achtergrond naar de aanvaller verstuurd.

Eenvoudige/opvallende manipulatie van de website waaruit blijkt dat de aanvaller complete controle over de browser heeft op de bankenwebsites.

De video van het vorige onderzoek (2015): 10 bankenwebsites op het hoofddomein doen de Harlem Shake.