Kwetsbare overheidssites maken het mogelijk DigiD-sessies te stelen. Een aanvaller kan eenvoudig rechtsgeldige(!!!) transacties doen.

Dat ontdekte beveiligingsonderzoeker Wouter van Dongen van Dong IT. Hij ontdekte twee weken geleden al een zwakheid in diverse raadsinformatiesystemen. Die problemen zijn verholpen, maar naast de kwetsbaarheid in de site kwam ook de mogelijkheid aan het licht om DigiD-sessies over te nemen.
Simpel sessie stelen

Het probleem speelt bij overheidssites die kwetsbaar zijn voor cross site scripting lekken. En dat zijn er behoorlijk wat, zo zal volgende week blijken uit ons onderzoek in het kader van Lektober. Door het manipuleren van de URL is het bij XSS-gevoelige sites vervolgens mogelijk de cookie te stelen. Daarmee kan een aanvaller dezelfde sessie overnemen en dus namens de niets vermoedende gebruiker werken.

Het uitvoeren van een dergelijke aanval is niet ingewikkeld en kan zelfs geautomatiseerd worden. Wie namelijk een website bouwt die gevoelig is voor XSS-lekken, blijkt vaak ook gevoelig voor SQL-injectie. Daarmee is het kinderspel om internetadressen zo aan te passen dat gebruikers bij het klikken op een link al de dupe van een aanval worden.

Ook in het voorbeeld van Van Dongen bleek dit probleem te spelen. Hij ontdekte eerst de SQL-injection en toen het XSS-lek. vervolgens kwam het probleem met DigiD aan het licht.

bron: webwereld.nl