Известные веб-сайты нашли серьезную ошибку кодирования

Два академика Университета Принстона нашли вид ошибки кодирования на нескольких известных веб-сайтах, которые могут поставить под угрозу личные данные и в одном тревожном случае слить банковский счет.

Тип недостатка, называемый подделкой запроса на межсайтовый запрос (CSRF), позволяет злоумышленнику выполнять действия на веб-сайте от имени жертвы, которая уже зарегистрировалась на сайте.

Недостатки CSRF в основном игнорировались веб-разработчиками из-за недостатка знаний, писал Уильям Целлер и Эдвард Фельтен, автор статьи, посвященной их выводам.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Исчезновение было обнаружено на веб-сайтах The New York Times; ING Direct, сберегательный банк США; Google YouTube; и MetaFilter, сайт блогов.

Чтобы использовать недостаток CSRF, злоумышленник должен создать специальную веб-страницу и заманить жертву на страницу. Вредоносный веб-сайт закодирован для отправки запроса на межсайтовый сайт через браузер жертвы на другой сайт.

К сожалению, язык программирования, лежащий в основе Интернета, HTML, упрощает выполнение двух типов запросов, оба из которых могут быть используется для атак CSRF, авторы писали.

Этот факт указывает на то, как веб-разработчики нажимают программный конверт для проектирования веб-сервисов, но иногда с непреднамеренными последствиями.

«Основная причина CSRF и подобных уязвимостей, вероятно, заключается в сложности сегодняшних веб-протоколов и постепенное развитие Сети с помощью средства представления данных на платформу для интерактивных сервисов », - говорится в документе.

Некоторые веб-сайты устанавливают идентификатор сеанса, часть информации, хранящуюся в файле cookie, или файл данных в браузере, когда человек регистрируется на сайте. Идентификатор сеанса проверяется, например, во время онлайн-покупки, чтобы убедиться, что браузер участвует в транзакции.

Во время атаки CSRF запрос хакера передается через браузер жертвы. Веб-сайт проверяет идентификатор сеанса, но сайт не может проверить, чтобы запрос пришел от нужного человека.

Проблема CSRF на веб-сайте New York Times, согласно научно-исследовательской работе, позволяет злоумышленнику получить адрес электронной почты пользователя, зарегистрированного на сайте. Тогда этот адрес может быть распущен.

На веб-сайте газеты есть инструмент, который позволяет зарегистрированным пользователям отправлять по электронной почте историю кому-то еще. При посещении жертвой веб-сайт хакера автоматически отправляет команду через браузер жертвы для отправки электронной почты с веб-сайта газеты. Если адрес электронной почты адресата совпадает с адресом хакера, будет обнаружен адрес электронной почты жертвы.

По состоянию на 24 сентября этот недостаток не был исправлен, хотя авторы писали, что в сентябре они уведомили газету 2007.

Проблема ING имела более тревожные последствия. Целлер и Фельтен писали ошибку CSRF, которая позволила создать дополнительную учетную запись от имени жертвы. Кроме того, злоумышленник может перевести деньги жертвы на свой счет. С тех пор ING исправила проблему, пишет они.

На веб-сайте MetaFile хакер может получить пароль человека. На YouTube атака может добавлять видео в «избранное» пользователя и отправлять произвольные сообщения от имени пользователя, а также другие действия. На обоих сайтах проблемы CSRF были исправлены.

К счастью, недостатки CSRF легко найти и легко исправить, о чем авторы подробно излагают в своей статье. Они также создали надстройку Firefox, которая защищает от определенных видов атак CSRF.