Nieuws
image

Cross-site scripting meest gemelde lek op HackerOne

vrijdag 22 juli 2016, 09:51 door Redactie, 4 reacties

Bedrijven zoals Twitter, Uber en Dropbox belonen sinds enige tijd hackers en beveiligingsonderzoekers voor het rapporteren van kwetsbaarheden in hun websites en webapplicaties. Hiervoor maken ze gebruik van het platform HackerOne, dat onder andere door twee Nederlanders werd opgericht.

Voor het melden van beveiligingsproblemen ontvangen de onderzoekers een financiële beloning. Inmiddels zijn er 1714 beveiligingslekken via HackerOne openbaar gemaakt. Indiase onderzoekers van beveiligingsbedrijf Fallible konden 1359 van deze kwetsbaarheden classificeren, zodat ze konden zien wat voor problemen het vaakst worden gemeld. Dan blijkt dat cross-site scripting het meest voorkomende probleem is.

Cross-site scripting is een probleem waarbij een aanvaller code op een website plaatst die vervolgens in de browser van bezoekers wordt uitgevoerd. Op deze manier kan een aanvaller bijvoorbeeld cookies stelen en zo toegang tot het account van een gebruiker krijgen. Het probleem is al jaren bekend, maar komt nog altijd voor in websites en webapplicaties. Van de in totaal 1359 geclassificeerde kwetsbaarheden die werden gerapporteerd vielen er 375 in deze categorie.

Het onderliggende probleem waardoor cross-site scripting mogelijk is, is dat de invoer van gebruikers niet goed wordt gecontroleerd. Dit blijkt een algemeen terugkerend probleem te zijn, aangezien bijna 28% van alle openbaar gemaakte kwetsbaarheden die bij HackerOne werden gemeld hierdoor wordt veroorzaakt. Een overzicht van alle verschillende soorten beveiligingslekken is op deze pagina te vinden.

Reacties (4)
22-07-2016, 10:04 door Dick99999
Weet iemand of/hoe je de relatie van die (originele) lijst van een 50-tal kwetsbaarheden in verband kan brengen met Java, Flash, pdf reader etc. Of komen deze kwetsbaarheden juist niet uit dit type kwetsbare applicaties?
22-07-2016, 10:28 door Anoniem
Geen grote verrassing. De top10 is redelijk eenvoudig te ontdekken als je er de tijd voor neemt, echter is de impact vaak ook gering (en dus ook de beloning).

SQL Injection, Broken/Open Authentication, Memory Corruption (buffer overflows, http headers, etc.) kunnen "dodelijk" zijn voor je webapp maar zijn moeilijker te vinden / exploiten, er zijn meer skills voor nodig, developers & testers letten er ook meer op (als het goed is....).

@Dick99999: Hackerone richt zich voornamelijk op webapplicaties en een klein deel mobile apps + een nog kleiner deel fat clients en embedded producten. De meeste testers zullen dus zoeken naar web kwetsbaarheden want tijd is geld.

Sommige kwetsbaarheden zijn niet/minder van toepassing op een bepaalde technologie b.v. memory corruption unmanaged vs managed code.
22-07-2016, 10:50 door SPlid - Bijgewerkt: 22-07-2016, 10:51
De top tien komt volgens mij redelijk overeen met de OWASP top 10 (www.owasp.org) ....
Hier staan ook veel hints en tips en methodes om te testen .
22-07-2016, 16:58 door Anoniem
@ SPlid, klopt, daarom is het ook merkwaardig en jammer dat het nog steeds speelt. Input validation (op ALLE velden) scheelt zoveel ellende.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure