Blog

Risico's van verlopen domeinen: een praktijkvoorbeeld van de website van Oracle

Een verwijzing naar een verlopen domein is alles wat een aanvaller nodig heeft om phishing uit te voeren onder een vertrouwde oorsprong. Deze blog bekijkt een voorbeeld uit de code van Oracle.

Nov 25, 2025 • 4 min read

Juan Combariza Growth Marketer

Expired-domains-breakdown-an-example-from-oracle-website

Bij cside monitoren we websites continu op verdachte activiteiten, zodat we gebruikers kunnen beschermen voordat aanvallen plaatsvinden. Onlangs ontdekten we een interessant geval bij een bekende website: Oracle.

Tijdens het beoordelen van een van Oracle's publieke JavaScript-bestanden merkten we dat het een verwijzing bevatte naar een domein dat is verlopen.

[https://www.oracle.com/asset/web/js/settings-v2.js](https://www.oracle.com/asset/web/js/settings-v2.js)

Deze blog belicht de risico's van vergeten of verlopen domeinen in client-side code. Dit is geen oud of zeldzaam probleem — het kan zowel grote als kleine bedrijven overkomen en kan gemakkelijk de deur openzetten voor een supply chain-aanval.

Opmerking: Ons team heeft deze bevinding gemeld aan Oracle, die het snel heeft verholpen. Het doel van deze blog is om de beveiligingsimplicaties vanuit een defensief standpunt te onderzoeken. Het mag niet worden geïnterpreteerd als richtlijn voor exploitatie of de ontwikkeling van nieuwe aanvalsmethoden.

Het verlopen domein in kwestie

Sommige delen van dit gedeelte zijn in de tegenwoordige tijd geschreven, omdat ze rechtstreeks zijn overgenomen uit gesprekken met onze beveiligingsanalist.

Het verlopen domein is:

ociforums.com

expired-domain-attack-breakdown-cside — Screenshot: Identificatie van een verlopen domein

Het bezoeken ervan leidt nu door naar:

https://expireddomains.com/domain/ociforums.com

purchase-expired-domain-attack-example-oracle-cside — Screenshot: Aankoop van een verlopen domein

(De screenshot is gemaakt op het moment van ontdekking; dit is inmiddels verholpen.)

In het JavaScript-bestand van Oracle staat een verwijzing naar:

http://ccc.ociforums.com/

expired-domain-vulnerability-detection-cside — Screenshot: Verlopen domein in de code van Oracle (inmiddels verholpen)

Deze link verschijnt in de websitecode als onderdeel van een bericht dat aan gebruikers wordt getoond wanneer er geen live chat-agents beschikbaar zijn. Omdat het domein is verlopen en te koop staat, kan iedereen het kopen en voor kwaadaardige doeleinden gebruiken.

Waarom dit verlopen domein een beveiligingsrisico was

Dit is het exacte fragment uit het bestand:

ocFeedback: {
  en: "Sorry, no agents are available... post your question at <a href='http://ccc.ociforums.com/'>http://ccc.ociforums.com/</a>..."
}

Dit bericht wordt getoond aan gebruikers die al op zoek zijn naar hulp. Zij zullen de link eerder vertrouwen als een legitieme Oracle-ondersteuningspagina. Als een aanvaller het domein zou kopen, kunnen er verschillende risico's optreden:

Phishing: De aanvaller kan een nep-forum aanmaken dat eruitziet als dat van Oracle en gebruikers verleiden hun accountgegevens te delen.
Malware-hosting: Het domein kan kwaadaardige downloads leveren of exploit kits uitvoeren.
SEO-misbruik: Omdat het domein mogelijk nog goede zoekresultaten heeft, kan het verschijnen in zoekopdrachten naar Oracle-ondersteuning en mensen naar de nep-site leiden.
Merkschade: Als gebruikers worden misleid, kunnen ze Oracle de schuld geven en het vertrouwen in het merk verliezen.

Langetermijnrisico: De link is hardcoded in de JavaScript, wat betekent dat elke site die deze widget gebruikt een update nodig heeft. Als dit niet snel wordt gepatcht, duurt de blootstelling voort.

Voorbeeld van een aanvalsscenario

Een gebruiker probeert Oracle-ondersteuning te bereiken, maar er zijn geen agents beschikbaar.
Het bericht vertelt hen om ccc.ociforums.com te bezoeken.
Het domein is nu in handen van een aanvaller.
De gebruiker klikt en wordt gevraagd in te loggen met hun Oracle-gegevens.
De aanvaller verzamelt de gegevens en kan ook malware leveren of andere oplichting uitvoeren.

Wat het cside-team heeft gedaan

We hebben contact opgenomen met Oracle en hen geïnformeerd over het verlopen domein. Ze hebben het domein vervolgens zeer snel teruggekocht en ons vermelding gegeven in hun beveiligingsrapportageprogramma's. We prijzen Oracle voor hun snelle reactie.

Deze situatie laat zien hoe de complexiteit van websites en de blootstelling over tijd een uitdaging kunnen worden, zelfs voor organisaties die indrukwekkend goed zijn voorbereid op beveiligingsincidenten. Client-side beveiliging is een vaak over het hoofd gezien gebied, en dat geldt helaas voor bedrijven van alle groottes.

Wat een aanval via een verlopen domein had kunnen voorkomen?

Als we het scenario uitspelen waarbij een aanvaller daadwerkelijk toegang tot dit domein had gekregen: zowel CSP als SRI hadden dit gemist.

CSP en SRI zouden falen:

CSP (Content Security Policy) en SRI (Sub Resource Integrity) zijn veelgebruikte client-side verdedigingsmechanismen. CSP valideert waar verzoeken vandaan komen, niet of de bestemming nog steeds veilig is. De browser staat het verzoek toe, ongeacht wie het domein nu bezit. SRI waarborgt de integriteit van bestanden alleen wanneer de ontwikkelaar de resource beheert. In dit geval was de verwijzing een hyperlink die in de gebruikersinterface werd weergegeven, geen externe scriptafhankelijkheid die door een hash werd beschermd.

Client-side beveiliging detecteert tekenen van een aanval via een verlopen domein:

Een client-side beveiligingsplatform zoals cside observeert continu hoe scripts zich tijdens runtime gedragen. Als een domein plotseling omleidingen begint uit te voeren, toetsaanslagen registreert, onverwachte JavaScript serveert of ongebruikelijke responspatronen vertoont, wordt de gedragsverandering onmiddellijk als een rode vlag gemarkeerd. Er wordt een melding gegenereerd voor beveiligingsteams om te onderzoeken.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

cside monitort het gedrag van scripts op uw website. Als een voorheen onschadelijk domein plotseling verdachte JavaScript begint te serveren, gebruikers omleidt of onverwachte netwerkverzoeken doet, markeert cside die gedragsverandering in realtime en waarschuwt uw team om dit te onderzoeken.

Wanneer een domein verloopt, kan iedereen (inclusief aanvallers) het kopen. Als uw website code ophaalt van dat domein via een script van een derde partij, kan die code worden aangepast en aan uw gebruikers worden geserveerd via een 'vertrouwd domein'. Aanvallers kunnen verlopen domeinen ook misbruiken voor SEO-manipulatie of phishing-omleidingen.

Nee. CSP blokkeert een domein niet als het is ingesteld als een 'vertrouwde' bron, zelfs als een nieuwe eigenaar de controle over het domein overneemt.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Wanneer een AI-API het antwoord van een andere gebruiker teruggeeft: gedeelde caches en cross-tenant lekken

Een incident met de Claude-API lijkt antwoorden van andere gebruikers te hebben teruggegeven. Waarom gedeelde caches cross-tenant lekken veroorzaken.

Een OAuth 2.0 access-token in het midden van een diagram dat een legitiem apparaat met het apparaat van een aanvaller verbindt

MFA faalde niet, het vertrouwensmodel faalde: device code phishing en OAuth-tokendiefstal (Kali365)

Kali365 misbruikt de OAuth 2.0 device authorization grant om Microsoft 365-tokens te stelen na MFA. Een technische analyse van de flow, FOCI en detectie.

Een browservenster dat oplost in een stroom blauwe lichtdeeltjes op een donkere achtergrond

AI verkort de exploitcyclus: Google's met AI ontwikkelde zero-day en wat dat betekent voor browsers

Google meldde een zero-day die volgens hen met AI is gemaakt. De echte AI-shift: niet slimmere phishing, maar hoe snel exploits de browser bereiken.

Sessietokens die door een browserbeveiligingsgrens naar apparaatfingerprintsignalen gaan

De browsersessie is nu een security control plane. Aanvallers wisten dat al jaren.

Google's DBSC-voorstel bevestigt een duidelijke verschuiving: browsersessies hebben apparaatvalidatie nodig na login.

Beste oplossingen voor accountovernamebescherming vergeleken (2026)

Anti-fraudesuites, fingerprinting-tools en MFA vergeleken op wat ze dekken in de ATO-aanvalsketen. Vind de juiste stack voor uw risicoprofiel.

Hoe je AI-agents stopt die nepaccounts aanmaken (Gids)

AI-agents maken nepaccounts aan met echte browsers, residentiële IP's en gegenereerde identiteiten. Dit is de detectiesignaalstack om ze te stoppen.

Hoe blokkeer je AI-agent content scraping bots (Gids)

AI content scraping bots gebruiken echte browsers, residentiële IP's en LLM-extractie om je prijzen en content te oogsten. Zo stop je ze.

Donkere cside-banner met een npm-supply-chain-aanval van het type worm

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.