image

Gegevens op Nederlandse commerciele websites bloot

maandag 30 oktober 2000, 09:35 door Redactie, 0 reacties

Gisteravond ging het in Tros Radio Online ander andere over slecht beveiligde gegevens op diverse Nederlandse websites:
Nog altijd is een groot aantal commerciële websites onvoldoende of zelfs slecht beveiligd, zo bleek in deze uitzending. Hierdoor blijkt het mogelijk om klantgegevens als naam, adres en betalingswijze te verkrijgen. Het gaat onder meer om sites uit het verzekeringswezen en de detailhandel.
Tijdens de uitzending toonde een programmeur in drie sessies aan dat gegevens op eenvoudige wijze te lezen zijn door onbevoegden. Er werden beveilingingsproblemen aangetroffen bij Manfield, Piet Klerkx, Halfords, Ohra, MegaPool, McGregor, FondsVisie, SelektCD, NBG Finance, Borland UK, MSI Computers, Devote en Apotheek.nl.

Ik was bij de uitzending aanwezig en heb gezien dat het inderdaad heel eenvoudig was om klantgegevens uit de site van Manfield te verkijgen. De reden dat dit kon was omdat de betreffende scripts externe invoer ongewijzigd doorgaven aan de achterliggende database.
Zoiets als 'http://www.site.nl/bla.asp?select user from cust'. Het aardige was ook dat de server je nog eenbeetje hielp, door uitgebreide foutmeldingen te geven met daarin aanwijzingen. Het probleem van externe variabelen wordt onder andere beschreven in punt 3 van vraag 36 van de WWW Security FAQ. Een FAQ die de ontwikkelaars van bovenstaande sites kennelijk niet hadden gelezen.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.