Nieuws

iDeal-test voor webwinkels zo lek als een mandje

vrijdag 18 december 2009, 10:51 door Redactie, 2 reacties

Het testscript dat de Rabobank voor webwinkels gebruikt is zo lek als een mandje, zo meldt Webwereld. Via de 40 ontdekte kwetsbaarheden kan een aanvaller informatie over het gebruikte systeem achterhalen, een Denial of Service-aanval uitvoeren of via Cross-Site Scripting klanten tijdens het doen van betalingen misleiden. Hoewel het om een testscript voor het accepteren van iDeal gaat, maken webwinkels hier wel gebruik van. “Het saillante is dat de Rabobank hiermee de beveiliging van tot dan toe goed beveiligde webshops ondermijnt", zegt Sijmen Ruwhof die de problemen ontdekte.

De laatste aanpassing aan de code dateert van mei 2006. “Hierdoor is het de afgelopen 3,5 jaar mogelijk om webshops die deze software geïmplementeerd hebben, geheel over te nemen, te defacen of zelfs offline te halen”, aldus de beveiliger. De Rabobank merkt op dat het niet de bedoeling is dat webwinkels de voorbeeldcode gebruiken, maar erkent dat dit niet duidelijk in de handleiding vermeld staat, iets wat de bank dan ook gaat aanpassen.

Adobe meest lekke software van 2009

12 virusscanners getest, Symantec de beste

Reacties (2)

18-12-2009, 10:56 door Syzygy

Hun Corebusiness is ook "mensen oplichten door middel van hun geld te bewaren en daar zeer slechte service tegenoverstellen voor veel te veel geld" en ze zijn geen "Softwarehuis" (God dank)

18-12-2009, 11:22 door Anoniem

"Het probleem zit in de handleiding voor acceptanten van iDeal, waarin ook een aantal PHP-scripts worden meegeleverd. Deze zijn bedoeld om de eigen webwinkels te checken tegen een demonstratieomgeving. Wie wat kleine wijzigingen doorvoert, kan de programmatuur ook inzetten voor het daadwerkelijk verwerken van transacties. "

Dit zegt meer over de kennis van de website maker zelf.
Voor een klant moet ik Docdata payments (Triple V) implementeren, krijg je een PHP script wat aan alle kanten rommelt en dan heb je een osCommerce versie (waar ik verschillende ideeën uit heb kunnen halen).

Maar uiteindelijk heb ik toch zelf iets zitten maken, nu wil deze klant binnenkort alleen iDEAL (als ik het goed heb van de Rabobank).
En laat eerste maar komen die zegt dat ik het fout doe :') (protocol analyseren, code bekijken, ruwe versie schrijven, unit testen, werkend maken, testen, testen, testen, acceptie test, ingebruikname).

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer