Mededeling

Collapse
No announcement yet.

Cross-scripting lek in banksite maakt SSL zinloos

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • Cross-scripting lek in banksite maakt SSL zinloos

    Computercriminelen hebben een cross-site scripting lek in de website van een Italiaanse bank gebruikt om de logingegevens van klanten te stelen, wat ondanks de aanwezigheid van SSL gewoon mogelijk was. De oplichters hebben de afgelopen dagen massaal phishing e-mails verstuurd met een geprepareerde URL die een vervalst formulier op de loginpagina van de bank injecteerde.

    De kwetsbare bankpagina wordt over een geldig SSL certificaat aangeboden. Toch is het de criminelen gelukt om een IFRAME op de loginpagina te plaatsen, die een aangepast loginvenster van een server in Taiwan laadt.

    "Deze aanval bewijst de ernst cross-site scripting lekken op banksites. Het laat zien dat veiligheid niet gegarandeerd wordt door de aanwezigheid van 'https' aan het begin van een URL, of te controleren of de adresbalk wel de juiste domeinnaam bevat", zegt Paul Mutton van Netcraft. Volgens Mutton ondermijnt cross-site scripting het doel van SSL certificaten, omdat het ook mogelijk is om een kwaadaardige payload via de GET parameter aan te bieden. Ook in dit geval zou het gouden slotje gewoon getoond worden.

    security.nl


  • #2
    Ik vind dit interessant want binnen IE zie ik de volgende melding wel eens verschijnen:


    Deze melding geeft mij aan dat, terwijl ik mij op een httpS-pagina bevindt, er zaken geladen worden die via een niet beveiligde verbinding lopen.
    Dus tenzij de andere pagina ook SSL beveiligd is, zou hiervoor gewaarschuwd moeten worden.
    Onbeveiligde inhoud van een beveiligde website downloaden

    De website die u bekijkt, is een beveiligde site. Deze gebruikt een beveiligingsprotocol zoals SSL (Secure Sockets Layer) of PCT (Private Communications Technology) om de informatie die u zendt en ontvangt te beveiligen.
    Wanneer sites een beveiligingsprotocol gebruiken, worden de gegevens die u verstrekt, bijvoorbeeld uw naam of creditcardnummer, gecodeerd zodat deze niet door andere personen kunnen worden gelezen. Deze webpagina bevat echter ook items die dit beveiligingsprotocol niet gebruiken.

    Op basis van wat u over deze website en uw computer weet, moet u beslissen of u deze website wilt blijven bezoeken.
    Als u deze site niet helemaal vertrouwt, klikt u op Nee.
    Bijgevoegde Bestanden
    Last edited by Eagle Creek; 10-01-08, 23:41.


    Het rapaille dat per Przewalskipaard arriveerde bij het feeëriek gesitueerde etablissement - komma -

    "Verwar de waarheid niet met de mening van de meerderheid"

    Comment

    Sorry, you are not authorized to view this page
    Working...
    X