Istaknute web stranice za koje je utvrđeno da imaju ozbiljnu pogrešku kodiranja

Dva akademija Sveučilišta Princeton pronašla su neku vrstu kodne mane na nekoliko istaknutih web stranica koje bi mogle ugroziti osobne podatke i u jednom alarmnom slučaju isprazniti bankovni račun.

Vrsta nedostatka, nazvana krivotvorenje zahtjeva za cross-site (CSRF) omogućava napadaču da izvrši akcije na web stranici u ime žrtve koja je već prijavljena na web stranicu.

Web razvojni programeri zbog nedostatka znanja uvelike su zanemarili nedostatke u CSRF-u, napisao je William Zeller i Edward Felten, koji je napisao istraživanje o svojim nalazima.

[Dodatna literatura: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Propust je pronađen na web stranicama The New York Timesa; ING Direct, američka štedionica; Googleov YouTube; i MetaFilter, blogging site.

Da bi iskoristili CSRF nedostatak, napadač mora stvoriti posebnu web stranicu i privući žrtvu na stranicu. Zlonamjerna web stranica kodira se za slanje zahtjeva za unakrsno mjesto putem preglednika žrtve na drugu web stranicu.

Nažalost, programski jezik koji podržava Internet, HTML, olakšava dvije vrste zahtjeva, od kojih se obje mogu koristi se za CSRF napade, pišu autori.

Ta činjenica ukazuje na to kako web programeri tjeraju programsku omotnicu za dizajniranje web usluga, ali ponekad i sa neželjenim posljedicama.

"Uzrok CSRF i sličnih ranjivosti vjerojatno leže u kompleksnosti današnjih internetskih protokola i postupno razvijanje weba od objekta za prezentaciju podataka do platforme za interaktivne usluge ", navodi se u članku.

Neke web stranice postavljaju identifikator sesije, dio informacija pohranjenih u kolačić, ili podatkovnu datoteku unutar preglednika, kada se osoba prijavljuje na web mjesto. Identifikator sesije provjerava se, primjerice, tijekom online kupnje kako bi se provjerio je li preglednik angažiran u transakciji.

Tijekom CSRF napada, zahtjev hakera prolazi kroz preglednik žrtve. Web stranica provjerava identifikator sesije, no stranica ne može provjeriti da je zahtjev došao od pravilne osobe.

Problem CSRF-a na web stranici New York Timesa, prema istraživačkom dokumentu, omogućuje napadaču da dobije e-mail adresu korisnika koji je prijavljen na web mjesto. Ta adresa može potencijalno biti spamena.

Web stranica novina ima alat koji korisnicima koji su prijavljeni e-poštom priopćiti neku drugu priču. Ako posjeti žrtva, web stranica hakera automatski šalje naredbu putem preglednika žrtve kako bi poslala e-poštu s web stranice papira. Ako je odredišna adresa e-pošte jednaka hakerovoj, e-mail adresa žrtve bit će otkrivena.

Od 24. rujna manjak nije bio fiksiran, iako su autori napisali da su novine u rujnu 2007.

Problem ING-a imao je više alarmantnih posljedica. Zeller i Felten napisali su nedostatak CSRF-a dopušteni dodatni račun koji je stvoren u ime žrtve. Također, napadač može prenijeti novac žrtve u svoj račun. ING je otkad riješio problem, napisali su.

Na web stranici MetaFilea haker je mogao dobiti lozinku osobe. Na YouTubeu napad mogao bi dodati videozapise korisnicima "favorita" i slati proizvoljne poruke u ime korisnika, među ostalim radnjama. Na obje stranice CSRF problemi su fiksni.

Srećom, nedostaci CSRF-a lako se mogu pronaći i lako ih popraviti, što autori daju tehničke pojedinosti u svom radu. Također su stvorili Firefox dodatak koji štiti od određenih vrsta CSRF napada.