Ongeveer 150 leden van Thuiswinkel.org zijn kwetsbaar voor xss-lekken of sql-injecties, waardoor gegevens van klanten kunnen worden onderschept. Dat blijkt uit een onderzoek van een student, waarover Webwereld en Tweakers zojuist hebben gepubliceerd.
Onder andere de webwinkels van V&D, Kruidvat en BCC blijken lek, aldus Webwereld vanochtend. De lekkages kwamen boven door een onderzoek van de 17-jarige ict-student Daniël Heesen, die later vandaag een rapport met zijn bevindingen publiceert.
Thuiswinkel Waarborg
Heesen nam in twee dagen tijd twaalfhonderd sites die het Thuiswinkel Waarborg dragen onder de loep. Volgens Tweakers controleerde de student iedere site op één plek. Meestal ging het daarbij om het zoekveld, waarin hij zogenoemde strings invoerde die op beveiligingsproblemen kunnen duiden.
Xss-lekken
Op 143 sites heeft Heesen xss-lekken (cross-site scripting) gevonden. 'Daarmee kunnen kwaadwillenden de lekkende webwinkels voorzien van eigen pagina's, informatie of programmacode waardoor winkelbezoekers gevaar lopen', aldus Webwereld. Op deze lijst staan de namen van onder meer V&D, Kruidvat, BCC, Marskramer en Belcompany.
Sql-injecties
Heesen ontdekte dat 18 van de twaalfhonderd sites kwetsbaar zijn voor sql-injecties. Webwereld: 'Daarmee kan een kwaadwillende eigen commando's geven aan de achterliggende database van een website. De inhoud - al dan niet geheel - van zo'n database kan daarmee worden buitgemaakt.' Onder andere Baby-dump.nl en Kabeltje.com bevatten dergelijke kwetsbaarheden, maar deze zijn inmiddels gedicht.
Waarschijnlijk meer gaten
Volgens Heesen zijn de gevonden lekken waarschijnlijk niet de enige gaten in de beveiliging van de onderzochte webwinkels. 'Ik heb bijvoorbeeld niet gecontroleerd op blinde sql-injecties', aldus de student tegen Tweakers. Bij blinde sql-injecties is een website wel kwetsbaar voor sql-injectie, maar worden de resultaten van een opdracht niet weergegeven. Een hacker kan dan via een omweg alsnog commando's uitvoeren.
Er is op dit moment 0 keer gereageerd op:
150 leden Thuiswinkel.org op lijst met lekke webwinkels
Je kunt niet meer reageren op dit artikel.