Site-uri Web Prominente S-au găsit probleme serioase de codificare

Doi cadre universitare de la Princeton University au descoperit un tip de defecțiune de codare pe mai multe site-uri web proeminente, care ar putea pune în pericol datele personale și într-un caz alarmant, scurgeri de cont bancar.

Tipul defectului, (CSRF), permite unui atacator să efectueze acțiuni pe un site Web în numele unei victime care este deja logată pe site.

Defectele CSRF au fost în mare parte ignorate de către dezvoltatorii web datorită lipsei de cunoștințe, a scris William Zeller și Edward Felten, care a scris o lucrare de cercetare cu privire la constatările lor.

[A se citi lectură: Cum să eliminați malware-ul de pe PC-ul dvs. de Windows]

Defecțiunea a fost găsită pe site-urile The New York Times; ING Direct, o bancă de economii din S.U.A.; Google YouTube; și MetaFilter, un site de bloguri.

Pentru a exploata un defect CSRF, un atacator trebuie să creeze o pagină web specială și să ademenească o victimă pe pagină. Site-ul Web rău intenționat este codificat pentru a trimite o solicitare transfrontalieră prin browser-ul victimei pe un alt site.

Din păcate, limbajul de programare care sta la baza Internetului, HTML, face ușor să facă două tipuri de cereri, ambele utilizate pentru atacurile CSRF, au scris autorii.

Acest fapt arată modul în care dezvoltatorii web împing plicul de programare pentru a proiecta servicii Web, dar uneori cu consecințe neintenționate.

"Cauza principală a CSRF și a vulnerabilităților similare se află probabil în complexitatea protocoalelor web de astăzi și evoluția treptată a Web-ului dintr-o unitate de prezentare a datelor într-o platformă pentru servicii interactive ", se arată în document.

Unele site-uri Web stabilesc un identificator de sesiune, o informație stocată în cookie, sau un fișier de date în browser, atunci când o persoană se loghează pe site. Identificatorul sesiunii este verificat, de exemplu, pe parcursul unei achiziții online, pentru a verifica dacă browserul a efectuat tranzacția.

În timpul unui atac CSRF, cererea hackerului este trecută prin browser-ul victimei. Site-ul Web verifică identificatorul sesiunii, dar site-ul nu poate verifica dacă cererea a venit de la persoana potrivită.

Problema CSRF de pe site-ul Web al New York Times, conform documentului de cercetare, permite unui atacator să obțină adresa de e-mail a utilizatorului care este conectat la site. Această adresă ar putea fi apoi spamată.

Site-ul Web al ziarului are un instrument care permite utilizatorilor conectați să trimită o poveste prin e-mail unei alte persoane. Dacă este vizitată de victimă, site-ul Web al hackerului trimite automat o comandă prin intermediul browser-ului victimei pentru a trimite un e-mail de pe site-ul web al hârtiei. Dacă adresa de poștă electronică de destinație este identică cu cea a hackerului, va fi dezvăluită adresa de e-mail a victimei.

La 24 septembrie defectul nu a fost stabilit, deși autorii au scris că au anunțat ziarul în septembrie 2007.

Problema ING a avut mai multe consecințe alarmante. Zeller și Felten au scris că defectele CSRF au permis crearea unui cont suplimentar în numele unei victime. De asemenea, un atacator ar putea transfera banii victimei în contul lor. ING a rezolvat de atunci problema, au scris.

Pe site-ul Web al MetaFile, un hacker ar putea obține parola unei persoane. Pe YouTube, un atac ar putea să adauge videoclipuri în "preferatele" unui utilizator și să trimită mesaje arbitrare în numele unui utilizator, printre alte acțiuni. Pe ambele site-uri, problemele CSRF au fost rezolvate.

Din fericire, defectele CSRF sunt ușor de identificat și ușor de rezolvat, pe care autorii le detaliază în lucrare. De asemenea, au creat un add-on pentru Firefox care se apără împotriva anumitor tipuri de atacuri CSRF.