Komponenter

Fremtrædende websteder har fundet alvorlig kodningsfejl

Earn $950.00+ in 1 HOUR with GOOGLE CHROME BROWSER! *Pay Now* (Make Money Online)

Earn $950.00+ in 1 HOUR with GOOGLE CHROME BROWSER! *Pay Now* (Make Money Online)
Anonim

To Princeton University akademikere har fundet en type kodningsfejl på flere fremtrædende websteder, der kan bringe personlige data i fare og i et alarmerende tilfælde, dræne en bankkonto.

Typen af ​​fejl, der kaldes anmodning om på stedet på stedet (CSRF) giver en hacker mulighed for at udføre handlinger på et websted på vegne af et offer, der allerede er logget på webstedet.

Fejl i CSRF er stort set blevet ignoreret af webudviklere på grund af manglende viden, skrev William Zeller og Edward Felten, der forfatter et forskningsdokument om deres resultater.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Fejlen blev fundet på The New York Times websider; ING Direct, en amerikansk sparebank; Googles YouTube; og MetaFilter, en blogging site.

For at udnytte en CSRF-fejl skal en angriber oprette en særlig webside og lokke et offer for siden. Det ondsindede websted er kodet for at sende en forespørgsel på tværs af webstedet via offerets browser til et andet websted.

Desværre er programmeringssproget, der understøtter internettet, HTML, det nemt at lave to typer anmodninger, der begge kan være der bruges til CSRF-angreb, skrev forfatterne.

Denne kendsgerning peger på, hvordan webudviklere presser programmeringshovedet til at designe webtjenester, men nogle gange med utilsigtede konsekvenser.

"Årsagen til CSRF og lignende sårbarheder ligger sandsynligvis i kompleksiteten af ​​nutidens webprotokoller og den gradvise udvikling af internettet fra en data præsentationsfacilitet til en platform for interaktive tjenester, "ifølge papiret.

Nogle websteder indstiller en sessionidentifikator, et informationsniveau, der er gemt i en cookie, eller en datafil i browseren, når en person logger på webstedet. Sessionidentifikatoren kontrolleres for eksempel gennem et online køb for at kontrollere, at browseren er involveret i transaktionen.

Under et CSRF-angreb sendes hackerens anmodning gennem offerets browser. Webstedet kontrollerer sessionsidentifikatoren, men webstedet kan ikke kontrollere for at sikre, at anmodningen kom fra den rigtige person.

CSRF-problemet på The New York Times-webstedet ifølge forskerpapiret tillader en angriber at opnå e-mail-adressen til den bruger, der er logget ind på webstedet. Denne adresse kan så potentielt blive spammet.

Avisens websted har et værktøj, der lader indloggede brugere e-maile en historie til en anden. Hvis besøget af ofret sender, sender hackers websted automatisk en kommando gennem offerets browser for at sende en e-mail fra papirets websted. Hvis destinationsadressens e-mail-adresse er den samme som hackeren, vil offerets e-mail-adresse blive afsløret.

Fra 24. september var fejlen ikke blevet rettet, selvom forfatterne skrev, at de meddelte avisen i september 2007.

INGs problem havde mere alarmerende konsekvenser. Zeller og Felten skrev CSRF-fejlen tillod en ekstra konto, der skulle oprettes på vegne af et offer. En angriber kan også overføre et offers penge til deres egen konto. ING har siden rettet problemet, skrev de.

På MetaFiles websted kunne en hacker få personens adgangskode. På YouTube kan et angreb tilføje videoer til en brugers "favoritter" og sende vilkårlig beskeder på brugerens vegne blandt andre handlinger. På begge sider er CSRF-problemerne blevet løst.

Heldigvis er CSRF-fejlene nemme at finde og nemme at rette, som forfatterne giver tekniske detaljer i deres papir. De har også oprettet en Firefox-tilføjelse, der forsvarer mod visse typer CSRF-angreb.