Ciddi Kodlama Kusuruna Sahip Olan Önemli Web Siteleri

İki Princeton Üniversitesi akademisyeni, bazı kişisel web sitelerinde kişisel verileri tehlikeye atabilecek ve endişe verici bir durumda, bir banka hesabını boşaltabilecek bir tür kodlama hatası buldu.

Çapraz site talebi sahteciliği denen kusurun türü. (CSRF), bir saldırganın daha önce siteye giriş yapmış bir kurban adına bir Web sitesindeki eylemleri gerçekleştirmesine izin verir.

Bilgi eksikliği nedeniyle CSRF hataları büyük ölçüde Web geliştiricileri tarafından göz ardı edilmiş, William Zeller ve Edward Felten, bulguları hakkında bir araştırma yazısı hazırladı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

The New York Times'ın web sitelerinde hata bulundu; ING Direct, bir ABD tasarruf bankası; Google’ın YouTube’u; ve bir blog sitesi olan MetaFilter.

Bir CSRF kusurundan yararlanmak için, saldırganın özel bir Web sayfası oluşturması ve sayfanın kurbanını cezbetmesi gerekiyor. Kötü niyetli Web sitesi, kurbanın tarayıcısı üzerinden başka bir siteye çapraz bir site göndermek için kodlanmıştır.

Ne yazık ki, Internet'in altını çizen programlama dili, HTML, iki tür istekte bulunmayı kolaylaştırır. CSRF saldırıları için kullanılan yazarlar şöyle yazdı:

Bu gerçek, Web geliştiricilerinin Web hizmetleri tasarlamak için programlama zarfını Web servislerini nasıl tasarladığını, ancak bazen de istenmeyen sonuçlara yol açtığını gösteriyor.

"CSRF ve benzeri güvenlik açıklarının temel nedeni büyük olasılıkla Günümüzün Web protokollerinin karmaşıklığı ve Web'in bir veri sunum tesisinden interaktif hizmetlere yönelik bir platformdan aşamalı olarak evrimleşmesine kadar, "kağıda göre.

Bazı Web siteleri, bir oturum tanımlayıcısı, bir çerezde saklanan bir bilgi parçasını, veya bir kullanıcı siteye giriş yaptığında tarayıcıdaki bir veri dosyasıdır. Oturum tanımlayıcısı, örneğin, çevrimiçi bir satın alma boyunca, tarayıcının işlemle uğraştığını doğrulamak için kontrol edilir.

Bir CSRF saldırısı sırasında, korsanın isteği mağdurun tarayıcısından geçirilir. Web sitesi oturum tanımlayıcısını kontrol eder, ancak site talebin doğru kişiden geldiğini kontrol edemez.

The New York Times'ın Web sitesinde bulunan CSRF problemi, araştırma makalesine göre bir saldırganın Siteye giriş yapan kullanıcının e-posta adresi. O zaman bu adres potansiyel olarak spam edilebiliyordu.

Gazetenin Web sitesinde, giriş yapan kullanıcıların bir başkasına bir hikaye e-posta göndermesine izin veren bir araç var. Mağdur tarafından ziyaret edilirse, korsanın Web sitesi otomatik olarak kurbanın tarayıcısından bir e-postayı gazetenin Web sitesinden göndermek için bir komut gönderir. Hedef e-posta adresi hacker'ınkiyle aynı ise, kurbanın e-posta adresi açıklanacaktır.

Yazarlar yazdıklarını ancak Eylül ayında gazeteye bildirdiklerini ancak 24 Eylül itibariyle kusurun düzeltilmediğini söyledi. 2007.

ING'nin problemi daha endişe verici sonuçlar doğurdu. Zeller ve Felten, CSRF kusurunu yazdı ve kurban adına ek bir hesap oluşturulmasına izin verdi. Ayrıca, bir saldırgan kurbanın parasını kendi hesabına aktarabilir. ING, sorunu çözdü, yazdı.

MetaFile'ın Web sitesinde, bir bilgisayar korsanı bir kişinin şifresini alabilir. YouTube'da bir saldırı, bir kullanıcının "favorileri" ne video ekleyebilir ve diğer eylemlerin yanı sıra bir kullanıcının adına rastgele mesajlar gönderebilir. Her iki sahada da, CSRF sorunları düzeltildi.

Neyse ki, CSRF kusurları bulmak ve düzeltmek kolaydır, yazarların makalelerinde teknik detaylar verir. Ayrıca bazı CSRF saldırılarına karşı savunan bir Firefox eklentisi oluşturdular.