Mellem 150.000 og 200.000 jobsøgende skal besøge internet-tjenesten Jobnet.dk hver uge for at bekræfte, at de stadig er ledige. Dermed er Jobnet.dk et af de mest besøgte offentlige danske websteder. Og derfor vil de fleste nok forvente, at sikkerheden er helt i top. Men en test, som sikkerhedsfirmaet Virus112 har foretaget for ComON, viser at det øjensynligt ikke er tilfældet.
Meget tyder nemlig på, at Jobnet.dk er sårbar overfor det såkaldte cross-site-scripting, hvilket kan få alvorlige konsekvenser for sitets brugere. Søgefunktionen på Jobnet.dk kan snydes til at afvikle fremmed kode ? og det kan i yderste konsekvens betyde, at hackere kan viderestille brugerne til en falsk kopi-side og aflure personlige oplysninger.
Og det er meget private og følsomme oplysninger der håndteres hos Jobnet.dk, hvor brugerne blandt andet kan oprette deres personlige cv og ansøge om orlov til børnepasning, bevilling af hjælpemidler og tilskud til uddannelse.
Fuldmægtig Jeppe Lundin i Arbejdsmarkedsstyrelsen er overrasket over meldingen om sikkerhedsproblemet, men afviser at man har sløset med sikkerheden på Jobnet.dk.
»Vi anvender de samme standarder og normer som andre offentlige sites, og vi er bestemt ikke gået på kompromis med sikkerheden. Vi kigger på det lige nu og har sendt det videre til vores it-afdeling, så må de vurdere, om der ligger noget i sagen,« siger Jeppe Lundin til ComON.
Cross site scripting kan misbruges på mange måder. I den mest harmløse variant kan man indsende en tekst eller et billede, som ikke hører hjemme på websiden. Det kan også være et link til en adresse, som siden ikke normalt ville linke til.
Men cross site scripting rummer også langt mere subtile og farlige muligheder, hvor man kan indsætte falske formularer eller scripts, der sender de indtastede informationer videre til bagmanden.
ComON har talt med sikkerhedsekspert Tonny Bjørn hos Virus112. Han har testet Jobnet.dk og bekræfter, at sitet er sårbart overfor cross-site-scripting.
»På Jobnet.dk's globale søgefunktion er det muligt at indsætte scripttags der åbner andre sider på resultatsiden. På andre dele af siten har man indlagt input filtrering på de steder, hvor brugeren giver information. Men den globale søgning er ikke sikret,« siger Tonny Bjørn, der er overrasket over, at Jobnet ikke er blevet testet for denne type sårbarhed tidligere.
Han bekræfter at cross site scripting (XSS) sårbarheder kan få alvorlige konsekvenser for sitets brugere.
»Mange som drifter et site afviser denne type sårbarhed, idet de tror, at den ikke kan bruges til at stjæle data fra backend systemet. Denne antagelse er en stor fejl. Det er vist gang på gang, at XSS bruges til at stjæle brugeridentitet (phishing), website defacing eller få adgang til services der normalt skal betales for,« siger han.
Link: http://warehouse.ncom.dk/lbb.php/1001/3457248569/MjAwOC0wMi0xMyxod3Rkaw==/aHR0cDovL3d3dy5jb21vbi5kay9pbmRleC5waHAvbmV3cy9zaG93L2lkPTM0Nzc5
Nyhed leveret af http://Comon.dk
