Wybitne witryny internetowe mają poważną lukę kodu

Dwóch akademików Uniwersytetu Princeton znalazło pewną wadę kodowania na kilku znanych stronach internetowych, które mogłyby zagrozić danym osobistym, aw jednym alarmującym przypadku drenować konto bankowe.

Rodzaj błędu, nazywany fałszowaniem żądań między witrynami. (CSRF), umożliwia atakującemu wykonywanie akcji w witrynie sieci Web w imieniu ofiary, która jest już zalogowana na stronie.

Błędy w CSRF zostały w dużej mierze zignorowane przez twórców stron internetowych z powodu braku wiedzy, napisał William Zeller i Edward Felten, który jest autorem pracy naukowej na temat swoich odkryć.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Błąd został znaleziony na stronach internetowych The New York Times; ING Direct, amerykański bank oszczędnościowy; Google's YouTube; i MetaFilter, blogowanie.

Aby wykorzystać lukę CSRF, atakujący musi stworzyć specjalną stronę internetową i zwabić ofiarę na stronę. Złośliwa strona internetowa jest kodowana w celu wysłania żądania z innej witryny za pośrednictwem przeglądarki ofiary do innej witryny.

Niestety język programowania, który leży u podstaw Internetu, HTML, ułatwia wykonanie dwóch typów żądań, z których oba mogą być używany do ataków CSRF, pisali autorzy.

Fakt ten wskazuje na to, jak programiści stron internetowych przesuwają zakres programowania w celu projektowania usług sieciowych, ale czasami z niezamierzonymi konsekwencjami.

"Główną przyczyną CSRF i podobnych luk prawdopodobnie jest złożoność dzisiejszych protokołów sieci Web i stopniowa ewolucja sieci od obiektu prezentacji danych do platformy usług interaktywnych ", zgodnie z dokumentem.

Niektóre witryny sieci Web ustawiają identyfikator sesji, informacje przechowywane w pliku cookie, lub plik danych w przeglądarce, gdy osoba loguje się na stronie. Identyfikator sesji jest sprawdzany na przykład podczas zakupu online, aby sprawdzić, czy przeglądarka zaangażowała się w transakcję.

Podczas ataku CSRF, żądanie hakera przechodzi przez przeglądarkę ofiary. Witryna sieci Web sprawdza identyfikator sesji, ale witryna nie może sprawdzić, czy żądanie pochodzi od właściwej osoby.

Problem CSRF na stronie internetowej New York Timesa, zgodnie z dokumentem badawczym, umożliwia osobie atakującej uzyskanie adres e-mail użytkownika zalogowanego na stronie. Ten adres mógłby zostać potencjalnie spamem.

Witryna internetowa gazety zawiera narzędzie, które pozwala zalogowanym użytkownikom przesłać wiadomość e-mail do innej osoby. Jeśli odwiedza go ofiara, strona internetowa hakera automatycznie wysyła polecenie za pośrednictwem przeglądarki ofiary, aby wysłać wiadomość e-mail z witryny sieci Web. Jeśli docelowy adres e-mail jest taki sam, jak adres hakera, adres e-mail ofiary zostanie ujawniony.

Od 24 września błąd nie został naprawiony, chociaż autorzy napisali, że powiadomili gazetę we wrześniu 2007.

Problem ING miał bardziej niepokojące konsekwencje. Zeller i Felten napisali, że błąd CSRF umożliwił utworzenie dodatkowego konta w imieniu ofiary. Ponadto osoba atakująca może przenieść pieniądze ofiary na ich własne konto. ING od tamtej pory naprawia problem, napisali.

Na stronie internetowej MetaFile haker może uzyskać hasło osoby. W serwisie YouTube atak może dodawać filmy do "ulubionych" użytkownika i wysyłać dowolne wiadomości w imieniu użytkownika, między innymi. Na obu stronach problemy z CSRF zostały naprawione.

Na szczęście błędy CSRF są łatwe do znalezienia i łatwe do naprawienia, które autorzy podają szczegóły techniczne w swoich artykułach. Stworzyli także dodatek do Firefoksa, który chroni przed niektórymi rodzajami ataków CSRF.