A kiemelkedő weboldalak súlyos kódolási hibát észleltek

A Princeton Egyetem két tudósa egyfajta kódolási hibát talált néhány kiemelkedő weboldalon, amelyek veszélyeztethetik a személyes adatokat, és egy riasztó esetben lemondhatnak egy bankszámláról.

A hiba típusa, amelyet cross-site request forgerynek neveznek (CSRF) lehetővé teszi a támadó számára, hogy a webhelyen már bejelentkezett sértett nevében végezzen műveleteket a webhelyen.

A CSRF hibákat a tudás hiánya miatt nagyrészt figyelmen kívül hagyta a webfejlesztők, írta William Zeller és Edward Felten, aki kutatási eredményeket készített a megállapításairól.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépéről]

A hibát megtalálta a The New York Times weboldalán; ING Direct, egy amerikai takarékpénztár; A Google YouTube; és a MetaFilter, egy blogbejegyzés oldal.

A CSRF hibájának kihasználásához a támadónak egy speciális weboldalt kell létrehoznia, és áldozatot kell csábítania az oldalra. A rosszindulatú webhelyet kódolták, hogy kereszttelepítési kérelmet küldjenek az áldozat böngészőjén keresztül egy másik webhelyre.

Sajnos az Internet, a HTML alapját képező programozási nyelv egyszerűen kétféle típusú kérést tesz lehetővé, mindkettő a CSRF-támadásokra használták.

Ez a tény arra utal, hogy a webfejlesztők hogyan próbálják meg a programozási kereteket a webes szolgáltatások tervezéséhez, de néha nem szándékolt következményekkel.

"A CSRF és hasonló sebezhetőségek legfőbb oka valószínűleg a a mai webes protokollok bonyolultsága és a web fokozatos fejlődése az adatátviteli objektumból az interaktív szolgáltatások platformjává "- írja a cikk.

Egyes webhelyek egy munkamenet-azonosítót, egy cookie-ban tárolt információt tartalmaznak, vagy egy adatfájlt a böngészőben, amikor egy személy bejelentkezik a webhelyre. A munkamenet-azonosítót például egy online vásárlás során ellenőrzi, hogy ellenőrizze, hogy a böngésző részt vesz-e a tranzakcióban.

Egy CSRF-támadás során a hacker kérelme áthalad az áldozat böngészőjén. A webhely ellenőrzi a munkamenet azonosítóját, de a webhely nem tudja ellenőrizni, hogy a kérés a megfelelő személytől származik-e.

A CSRF-probléma a The New York Times weboldalán a kutatási dokumentum szerint lehetővé teszi a támadó számára, a webhelyre bejelentkezett felhasználó e-mail címe. Ez a cím potenciálisan spammable lehet.

Az újság webhelyén olyan eszköz található, amely lehetővé teszi, hogy a bejelentkezett felhasználók e-mailben elküldjenek egy történetet valaki másnak. Ha az áldozat meglátogatja, a hacker weblapja automatikusan elküldi a parancsot az áldozat böngészőjén keresztül, hogy e-mailt küldjön a papír weboldaláról. Ha a címzett e-mail címe megegyezik a hackerével, az áldozat e-mail címét feltárják.

A szeptember 24-i hibáról mégsem sikerült rögzíteni, bár a szerzők azt írták, hogy szeptemberben értesítették az újságot 2007.

Az ING problémája több riasztó következménnyel jár. Zeller és Felten írta a CSRF-hibát, amely lehetővé tette, hogy egy áldozat nevében létrehozzanak egy további fiókot. Emellett egy támadó az áldozat pénzét saját számlájára is átruházhatja. Az ING azóta feloldotta a problémát, írtak.

A MetaFile webhelyén a hacker megszerezheti a személy jelszavát. A YouTube-on egy támadás videókat is hozzáadhat a felhasználó "kedvenceihez", és tetszőleges üzeneteket küldhet a felhasználó nevében, többek között. A CSRF-problémák mindkét oldalon rögzültek.

Szerencsére a CSRF-hibákat könnyű megtalálni és könnyen megoldani, amit a szerzők technikai részletességgel adnak fel papírjukban. Ők is létrehoztak egy Firefox kiegészítőt, amely védelmet nyújt bizonyos típusú CSRF támadások ellen.