Významné webové servery, které zjistily, že mají závažné kódové chyby

Dva vědci z Princetonské univerzity zjistili typ kódové chyby na několika významných webových stránkách, které by mohly ohrozit osobní údaje a v jednom alarmujícím případě vyčerpat bankovní účet.

Typ chyby, nazývané " (CSRF), umožňuje útočníkovi provádět akce na webových stránkách jménem oběti, která je již přihlášena na webu.

Vyloučení CSRF byly z velké části ignorovány vývojáři webu kvůli nedostatku znalostí, napsal William Zeller a Edward Felten, který napsal výzkumný materiál o svých zjištěních.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Tato chyba byla nalezena na webových stránkách The New York Times; ING Direct, americká spořitelna; Google YouTube; a MetaFilter, blogovací web.

Chcete-li využít chybu CSRF, musí útočník vytvořit speciální webovou stránku a přilákat oběti na stránku. Škodlivý webový server je kódován tak, aby odesílal přes webový prohlížeč oběti do jiné stránky.

Bohužel programovací jazyk, který je základem pro internet, HTML, umožňuje snadné provedení dvou typů požadavků, z nichž oba mohou být "

Tato skutečnost poukazuje na to, jak weboví vývojáři tlačí programovací obálku k návrhu webových služeb, ale někdy s neúmyslnými důsledky.

" Hlavní příčinou CSRF a podobných zranitelných míst je pravděpodobně složitosti dnešních webových protokolů a postupného vývoje webu z prostředku pro prezentaci dat na platformu pro interaktivní služby ", píše se v dokumentu.

Některé weby nastavují identifikátor relace, informace uložené v cookie, nebo datový soubor v prohlížeči, když se člověk přihlásí na web. Identifikátor relace je zkontrolován například v online nákupu, aby se ověřilo, že prohlížeč provádí transakci.

Během útoku CSRF je požadavek hackera předán prostřednictvím prohlížeče oběti. Webový server kontroluje identifikátor relace, ale web nemůže ověřit, zda požadavek pochází od správné osoby.

Problém CSRF na webu New York Times podle výzkumného dokumentu umožňuje útočníkovi získat e-mailovou adresu uživatele, který je přihlášen na web. Tato adresa by mohla být potenciálně nevyžádaná pošty.

Webová stránka novin obsahuje nástroj, který umožňuje přihlášeným uživatelům zasílat příběh někomu jinému. Pokud návštěvník navštíví poškozený, webový server hackera automaticky pošle prostřednictvím prohlížeče oběti příkaz k odeslání e-mailu z webového místa papíru. Pokud je cílová e-mailová adresa shodná s hackerem, bude e-mailová adresa oběti odhalena.

Od 24. září chyba nebyla opravena, ačkoli autoři napsali, že oznámili noviny v září 2007.

Problém ING měl více alarmujících důsledků. Zeller a Felten napsali, že chyba CSRF umožňuje další účet, který má být vytvořen jménem oběti. Také útočník mohl přenést peníze oběti na vlastní účet. ING od té doby opravil problém, napsali.

Na webu MetaFile by mohl hacker získat heslo osoby. V síti YouTube by útok mohl přidávat videa do oblíbených položek uživatele a posílat libovolné zprávy jménem uživatele, mimo jiné. Na obou stránkách byly problémy s CSRF opraveny.

Naštěstí jsou chyby CSRF snadné najít a snadno se opravit, což autoři podrobně popisují ve svém příspěvku. Také vytvořili doplněk Firefox, který brání určitým druhům útoků CSRF.