Bankenwebsites en XSS: tijd voor CSP

DongIT vindt wederom kwetsbaarheden bij banken: een jaar na dato

In januari 2015 heeft DongIT aangetoond dat 10 Nederlandse banken op het hoofddomein (bijv. www.abnamro.nl) kwetsbaar waren voor cross-site-scripting (XSS). Ruim een jaar later, in augustus 2016, heeft DongIT een nieuw onderzoek uitgevoerd, zo melden o.a. NU.nlTweakers.net en AG Connect

Doel van het onderzoek: om te bekijken of banken inmiddels gebruik maken van een extra beveiligingslaag, genaamd Content Security Policy, om herhaling te voorkomen.

Resultaat van het onderzoek: opnieuw zijn er XSS-kwetsbaarheden aangetroffen op het hoofddomein van ABN Amro, SNS bank en Triodos.

Download hier het onderzoeksrapport: Bankenwebsites en XSS: tijd voor CSP v1.0

Waarom is dit een belangrijke bevinding?

De impact van deze kwetsbaarheid (XSS) is juist het grootst op het hoofddomein (bijv. www.abnamro.nl) of het bankierendomein van een bank, omdat deze bij de bezoeker bekend zijn en er banktransacties op plaatsvinden. Het webadres zal er in de adresbalk ongewijzigd uitzien, inclusief het vertrouwde slotje – ondanks de aanval. Vanwege het vertrouwde karakter kan een kwaadwillende hacker de bezoeker laten geloven dat zij bijvoorbeeld kunnen inloggen met DigiD, terwijl op de achtergrond de inloggegevens naar de aanvaller verstuurd worden.

Hieronder volgt een voorbeeld van een XSS-aanval bij ABN Amro: 

Er wordt een formulier in de website geïnjecteerd die niet van echt te onderscheiden is. Daarnaast lijkt het alsof het mogelijk is om in te loggen met DigiD. Vanwege het vertrouwelijke karakter van het domein www.abnamro.nl zullen de meeste bezoekers het niet verdacht vinden dat er ingelogd kan worden met DigiD. Wachtwoorden worden op de achtergrond naar de aanvaller verstuurd.

Een ander voorbeeld is deze eenvoudige/opvallende manipulatie van de website, waaruit blijkt dat de aanvaller complete controle over de browser heeft op de volgende bankenwebsites.

De video van het vorige onderzoek (2015) is hieronder te zien. Hier is te zien dat 10 bankenwebsites op het hoofddomein de "Harlem Shake" doen.