UWV heeft drie miljard euro in hun ICT gestoken, maar hun site Werk.nl is brakker dan Chrissy Curry op zondagochtend. En niet alleen omdat de site er
steeds uit ligt en trager is dan Yolanthe van Cokebau van Snortbergen na een cocäinebinge. Nee, vooral omdat Werk.nl een XSS-gat heeft ter grootte van de kringspier van je moeder. Alsof het neefje van de directeur de XSS-filter heeft geïnstalleerd en, op de standaard variabelen na, niks heeft beveiligd. Haha, Werk.nl heeft geen whitelisting. Fu-Fu-Fu-FAAAAIIILLL! Is dat erg? Nou, we hebben de info + screenshots even door Senior Security Expert Sander van Meggelen laten analyseren: "
LOL! Dat ziet er uit als een Cross site scripting lek", aldus Sander. "
Je hoeft niet hele uitgebreide hacks0r-skills te hebben om onder meer sessiecookies te bekijken, een sessie van een gebruiker over te nemen, de functionaliteit van een website te verrijken of onbedoelde acties voor een gebruiker uitvoeren. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt niet afdoende wordt gevalideerd en hierdoor in de uitvoer terecht komt naar de eindgebruiker." Met andere woorden: tubgirl op de frontpage zetten, gebruikers die solliciteren op een functie als bejaardenverzorger omlussen naar Lemon Party en als je wilt namens de werklozen in je straat solliciteren op kutbaantjes. WINNEND! En aangezien UWV te druk bezig is om
uw Facebook af te struinen, zal dit gapende XSS-gat voorlopig wel blijven zitten. Het enige goede aan het UWV zijn de
hobbyfilmpjes van hun medewerkers, willen we maar zeggen.
