Merkittävät verkkosivustot, joilla on vakava koodausvirhe

Kaksi Princetonin yliopiston tutkijaa on löytänyt eräänlaisen koodausvirheen useilla näkyvillä verkkosivuilla, jotka voivat vaarantaa henkilötietojen ja yhdessä hälyttävissä tapauksissa tyhjentää pankkitilin.

Virheen tyyppi, jota kutsutaan cross-site request falsification (CSRF) avulla hyökkääjä voi suorittaa toimia Web-sivustossa uhrin puolesta, joka on jo kirjautunut sivustoon.

Web-kehittäjät ovat pitkälti jättäneet huomiotta CSRF-puutteita tietämyksen puutteen vuoksi, kirjoitti William Zeller ja Edward Felten, joka laati tutkimustiedon havainnoistaan.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Tämä virhe löytyi New York Timesin verkkosivuilta. ING Direct, Yhdysvaltain säästöpankki; Googlen YouTubessa; ja MetaFilter, blogisivusto.

CSRF-virheen hyödyntämiseksi hyökkääjän on luotava erityinen verkkosivusto ja houkutettava uhri sivulle. Haitallisen Web-sivuston koodaus lähettää eri sivustoyhteyden pyynnön uhrin selaimen kautta toiseen sivustoon.

Valitettavasti Internetin, HTML: n perustana oleva ohjelmointikieli tekee helposti kahdenlaisia ​​pyyntöjä, joista molemmat voidaan jotka käyttävät CSRF-hyökkäyksiä, kirjoittajat kirjoittavat.

Tämä seikka viittaa siihen, miten Web-kehittäjät ovat ohjannut ohjelmointiverkkoa suunnittelemaan web-palveluita mutta joskus tahattomilla seurauksilla.

"CSRF: n ja vastaavien haavoittuvuuksien perimmäinen syy on todennäköisesti nykyisten web-protokollien monimutkaisuus ja verkon asteittainen kehittyminen datan esittelytilasta vuorovaikutteisten palveluiden foorumiin ", paperin mukaan.

Jotkin Web-sivustot määrittävät istunnon tunnisteen, evästeessä tallennettu tieto, tai datatiedosto selaimessa, kun henkilö kirjautuu sivustoon. Istuntotunniste tarkistetaan esimerkiksi verkkokaupassa varmistaaksesi, että selaimesi on osallistunut tapahtumaan.

CSRF-hyökkäyksen aikana hakkerin pyyntö siirretään uhrin selaimen kautta. Web-sivusto tarkistaa istunto-tunnisteen, mutta sivusto ei voi tarkistaa, että pyyntö tulee oikealta henkilöltä.

New York Timesin Web-sivuston CSRF-ongelma tutkimuskohteen mukaan sallii hyökkääjän hankkia käyttäjän sisäänkirjautuneen käyttäjän sähköpostiosoite. Kyseinen osoite voisi mahdollisesti olla roskapostia.

Lehden verkkosivustolla on työkalu, jonka avulla kirjautuneet käyttäjät voivat lähettää viestin jollekin muulle henkilölle. Jos uhri vierailee, hakkeri Web-sivusto lähettää automaattisesti komennon uhrin selaimen kautta sähköpostin lähettämiseksi paperin Web-sivustosta. Jos vastaanottajan sähköpostiosoite on sama kuin hakkeri, uhrin sähköpostiosoite paljastuu.

Syyskuun 24. päivästä virhe ei ollut vahvistettu, vaikka kirjoittajat kirjoittavat ne ilmoittaneet sanomalehdelle syyskuussa 2007.

ING: n ongelmalla oli hälyttäviä seurauksia. Zeller ja Felten kirjoitti CSRF-virheen, jonka ansiosta uhrin puolesta luotiin uusi tili. Hyökkääjä voi myös siirtää uhrin rahaa omaan tiliinsä. ING on nyt asettanut ongelman, he ovat kirjoittaneet.

MetaFile-verkkosivustolla hakkeri voisi hankkia henkilön salasanan. YouTubessa hyökkäys voisi lisätä videoita käyttäjän suosikkeihin ja lähettää mielivaltaisia ​​viestejä käyttäjän puolesta muun muassa. Molemmissa sivustoissa CSRF-ongelmat on korjattu.

Onneksi CSRF-puutteita on helppo löytää ja niitä voidaan helposti korjata, ja tekijät antavat tekniset yksityiskohdat paperissaan. He ovat myös luoneet Firefox-lisäosan, joka puolustaa tiettyjä CSRF-hyökkäyksiä vastaan.