image

Website McAfee niet Hacker Safe

woensdag 14 mei 2008, 10:13 door Redactie, 2 reacties

Het Hacker Safe logo van McAfee ligt al enige tijd onder vuur omdat gecertificeerde websites toch lek zijn, en nu blijkt dat ook de eigen site niet waterdicht is. Eind april werd bekend dat op verschillende sites met het Hacker Safe logo al maanden cross-site scripting (XSS) mogelijk is. Hierdoor kan een aanvaller logingegevens en creditcardgegevens stelen. Toch stond op de sites het logo omdat volgens McAfee XSS geen toegang tot de server geeft. Beveiligingsonderzoekers waren zeer teleurgesteld in het antwoord van de beveiliger, die hiermee eigenlijk zegt dat het niets geeft om de veiligheid van de bezoekers van sites met het Hacker Safe logo. Die lopen namelijk ondanks de button nog steeds risico.

Onderzoeker Nate McFeters daagde hackers daarop uit om SQL injectie of XSS uit te voeren op de website van McAfee en dat blijkt inderdaad mogelijk te zijn, zoals deze video demonstreert. McFeters was geschokt door het resultaat, wat aantoont dat McAfee niet begrijpt hoe ernstig XSS is. "Ik vind het verontrustend dat ze McAfee Secure niet op hun eigen sites gebruiken, terwijl het een product is dat ze wel aan hun klanten verkopen." Volgens de beveiliger kan dit twee dingen betekenen. Of McAfee gebruikt de eigen security tools niet voor de eigen website, wat van weinig vertrouwen in deze dienst spreekt, of de tool werkt niet goed.

"Het wordt tijd dat McAfee haar mening over XSS aanpast. Het is een groot probleem dat wel degelijk de aandacht verdient, zeker van een tool die applicaites certificeert als zijnde "Hacker Safe". Ik denk dat ze ook hun mening over de certificeringstool moeten aanpassen. Een eenvoudige scan kan nooit alle problemen vinden waar een webapplicatie mee te maken heeft."

Reacties (2)
14-05-2008, 10:28 door e.r.
Loool. Dat is pas een 'setback' zoals ze het daar noemen :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.