RobIII

Het is inmiddels twee weken geleden dat WAXTRAPP op de hoogte werd gesteld van de XSS lekken die ze in hun sites hebben. Er is inmiddels wat stof opgewaaid aldaar en mede daardoor is er toen door WAXTRAPP contact met ondergetekende opgenomen. Een kort over-en-weer was het resultaat en beterschap werd beloofd. Vandaag de follow-up!

Wat ik in mijn carrière met de regelmaat van de klok tegen kom zijn de "I told you so"-situaties. Ik heb door de jaren heen met veel consultants, managers en andere bobo's* gewerkt en het zal niet voor het eerst zijn dat een, goedbedoeld I might add, advies compleet in de wind wordt geslagen. Ik ben ook maar een mens en ook ik maak fouten (echt ja! ). Maar als mensen met verstand van zaken (of, genuanceerder, méér verstand van zaken dan mezelf) me een advies geven dan zal ik het allerminst in overweging nemen en onderzoeken waar nodig. Je eigen fouten erkennen, weten en accepteren dat je ze maakt, en er niet moeilijk over doen is een sterke persoonlijke eigenschap die je dagelijks leven kan vergemakkelijken maar het is er zéker één die een goede ontwikkelaar dient te hebben. Steve McConnel heeft in zijn boek Code Complete (aanrader!) zelfs een compleet hoofdstuk gewijd aan goede eigenschappen die een programmeur zou moeten bezitten; zelfkritiek is daar een belangrijke van.
* "bobo's" is iedereen die om het ontwikkelen heen hangt; in principe iedereen die niet het daadwerkelijke ontwikkelen uitvoert. En niets tegen "bobo's"; zij moeten er ook zijn om een project in goede banen te leiden, om een project überhaupt verkocht te krijgen enzovoorts en zijn een even volwaardig lid van een ontwikkelteam als ieder ander!

Twee weken geleden wees ik WAXTRAPP dus op een XSS probleem in de sites die zij bouwen. Shit happens. Kan gebeuren, we maken allemaal fouten. Het werd dan ook sportief door WAXTRAPP opgepakt en er zou hard gewerkt gaan worden aan een fix. Er werd toen al door Bas Groot gehint naar een "filtertje" om dit probleem te verhelpen. Ik heb toen meteen, in datzelfde telefoongesprek, mijn twijfels en bedenkingen daarover geuit. Daarop werd mij, en ons verteld dat we maar vertrouwen moesten hebben in hun oplossing en maar af moesten wachten. En inderdaad, sinds gisteren is in de WAXTRAPP site de originele XSS exploit gevonden en gedicht. Mooi! Hulde!

Maar wat blijkt? De dames en/of heren bij WAXTRAPP hebben inderdaad gekozen voor een 'filtertje' waarbij, zover ik kan zien, de quote (") en < en > tekens uit zoekteksten worden verwijderd. Leuk, maar dat filtertje is dus niet afdoende. Ik heb weinig trek er meer moeite in te steken, of het voor anderen (nog) makkelijk(er) te maken, maar je kunt je voorstellen dat deze exploit makkelijk aan te passen is zodat de gevolgen erger zullen zijn. De filter wordt klaarblijkelijk toegepast in de "U heeft gezocht op <blah>" zinsnede, maar bij de inhoud van te textbox (dus in het value attribuut van het input element) niet (helemaal). Tevens demonstreert dit dat de testprocedure van WAXTRAPP op z'n zachts gezegd érg gebrekkig is; en dat is als er al een testprocedure aanwezig is. Het blijft speculatie want we kunnen niet 'binnen kijken' maar dit spreekt in mijn ogen toch wel boekdelen.

Hier blijkt maar weer dat het toepassen van 'filtertjes' om 'enge tekens' weg te filteren:

• (Bijna?) Nooit waterdicht is
• Omslachtig(er) is, en moeilijker te onderhouden
• Ook nog eens gebruiksonvriendelijk is; waarom zou ik niet mogen zoeken op bepaalde tekens? Dat ze weinig relevante resultaten zullen opleveren boeit niet, ik mag bij Google (of eender welke andere zoekmachine) ook prima zoeken op 'enge tekens' zonder dat daar sprake is van XSS

De gangbare manier, namelijk correct escapen (of HTML encoden zo je wil), is, zoals iedere zichzelf respecterende ontwikkelaar je zal vertellen:

• 'Waterdicht'
• Makkelijk(er) te implementeren
• Gebruiksvriendelijk(er); het boeit niet wat ik in pons; de pagina doet wat verwacht wordt

Waar ik echter nu nog veel meer voor vrees is dat het escapen bij WAXTRAPP dusdanig verkeerd begrepen wordt dat dit, toch wel basis-, principe structureel verkeerd aangepakt wordt en dan heb je dus nog een veel groter probleem. En dan denk ik dus aan zaken als SQL Injection. Waar het mij om gaat, want honestly, het afbranden van WAXTRAPP is het zeker niét, is dat er eindelijk eens een keer wat 'awareness' komt onder ontwikkelaars. Die awareness is onder een grote groep ontwikkelaars al in ruime mate aanwezig, maar het ontbreekt ook een enorme groep ontwikkelaars dus, klaarblijkelijk, nog steeds aan die kennis. En zolang je een hobbyist bent en gewoon leuk websites wilt bouwen zul je mij daar niet over horen.

Bedrijven die geld vragen voor hun producten, en grof geld at that waarschijnlijk, en dan dit soort 'oplossingen' durven opleveren zouden toch eens heel goed naar zichzelf moeten kijken. Steek eens wat geld in bijscholing van personeel in plaats van een dikke auto of een vakantie naar de Bahama's. Reserveer eens wat tijd om op regelmatige basis je ontwikkelaars in een hokje te stoppen en elkaar iets bij te laten brengen; 'speeltuin' projectjes opzetten, spreekbeurtjes (a.k.a. presentaties) houden over ontdekkingen of linkjes op je intranet te zetten naar interessante blogs Déél kennis! En zorg dat, vooral bij primaire zaken als beveiliging, de prioriteit hoog ligt, de testprocedures uitgebreid en doordacht zijn en dat iedereen op de hoogte is van rudimentaire kennis en dat degenen die de beveiliging implementeren helemaal goed weten waar ze mee bezig zijn en niet de hele dag klok-en-klepel lopen spelen.

Bas Groot had waarschijnlijk al een visioen:

quote: http://robiii.tweakblogs....d-der-blinden.html#r_7858

"RobIII [red.] ...vertelde verder dat hij waarschijnlijk de komende tijd nog wel meer polemieken over 'foute' bedrijven gaat schrijven. Wordt vast lachen!"

Helaas is het dan weer WAXTRAPP geworden. Sorry Bas!

Ik had dit blogitempje graag anders afgesloten, maar ik kan het niet laten: Told you so!

P.s. Als men deze exploit gaat aanpakken voor de andere sites welke wél nog steeds vatbaar zijn: zorg dan dat het eerst op orde is! Dat scheelt alles twee keer moeten fixen

Dit alles, wederom, op geheel persoonlijke noot

Update 3 dec 1:31
Artikel bijgewerkt met een 'mooiere' demonstratie van de huidige XSS vulnerability bij WAXTRAPP; met dank aan DanielG