Universiteit Twente was vatbaar voor XSS
Andy WillekensOp 25 juli 2017 ben ik tot de ontdekking gekomen dat er kwaadaardige javascript code kon worden geïnjecteerd via het sub domein van de Universiteit Twente: https://personen.utwente.nl.
Er werd niet gefilterd op de invoer van het zoekveld. Hierdoor was het voor mij vrij makkelijk om een Proof of Concept te maken en op te sturen naar het CERT team van de Universiteit Twente.
Vrijwel direct na mijn melding een bericht mogen ontvangen met een bedankje en dat de kwetsbaarheid in september zou worden opgelost. Er stond voor die maand een update gepland en daar kon de oplossing nog in meegenomen worden.
Inmiddels op 20 september 2017 kan ik bevestigen dat de kwetsbaarheid is verholpen en het niet meer mogelijk is om via het zoekveld javascript uit te voeren.