ส่วนประกอบ

นักวิชาการจากมหาวิทยาลัยพรินซ์ตันสองแห่งได้ค้นพบข้อบกพร่องด้านการเข้ารหัสบนเว็บไซต์ที่โดดเด่นหลายแห่งที่อาจเป็นอันตรายต่อผู้ใช้ ...

Faith Evans feat. Stevie J – "A Minute" [Official Music Video]

Faith Evans feat. Stevie J – "A Minute" [Official Music Video]
Anonim

ประเภทของข้อบกพร่องที่เรียกว่าการปลอมแปลงคำขอข้ามไซต์ (CSRF) ช่วยให้ผู้บุกรุกสามารถดำเนินการบนเว็บไซต์ในนามของเหยื่อผู้ที่เข้าสู่เว็บไซต์นี้ได้

ข้อบกพร่องของ CSRF ส่วนใหญ่ถูกละเลยโดยนักพัฒนาเว็บเนื่องจากขาดความรู้ William Zeller และ เอ็ดเวิร์ด Felten ผู้ประพันธ์งานวิจัยเกี่ยวกับผลการค้นพบของพวกเขา

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

ข้อบกพร่องที่พบในเว็บไซต์ของ The New York Times; ING Direct ธนาคารออมทรัพย์ของสหรัฐฯ YouTube ของ Google; และ MetaFilter ซึ่งเป็นไซต์บล็อก

เพื่อใช้ประโยชน์จากข้อบกพร่องของ CSRF ผู้โจมตีจะต้องสร้างเว็บเพจพิเศษและล่อให้เหยื่อเข้าสู่หน้าเว็บ เว็บไซต์ที่เป็นอันตรายได้รับการเข้ารหัสเพื่อส่งคำขอข้ามไซต์ผ่านเบราว์เซอร์ของเหยื่อเข้าสู่เว็บไซต์อื่น

น่าเสียดายที่ภาษาเขียนโปรแกรมซึ่งเป็นรากฐานของอินเทอร์เน็ต HTML ทำให้ง่ายต่อการทำคำขอสองประเภทซึ่งทั้งสองอย่างนี้สามารถทำได้ ใช้สำหรับการโจมตีของ CSRF ผู้เขียนเขียนว่า

ความเป็นจริงชี้ให้เห็นว่านักพัฒนาเว็บกำลังผลักดันซองโปรแกรมเพื่อออกแบบบริการเว็บอย่างไร แต่บางครั้งก็มีผลกระทบที่ไม่ได้ตั้งใจ

"สาเหตุหลักของ CSRF และช่องโหว่ที่คล้ายคลึงกันอาจอยู่ใน ความซับซ้อนของโปรโตคอลเว็บในปัจจุบันและวิวัฒนาการที่ค่อยๆของเว็บจากสิ่งอำนวยความสะดวกการนำเสนอข้อมูลไปสู่แพลตฟอร์มสำหรับบริการแบบโต้ตอบ " เว็บไซต์บางแห่งตั้งค่าตัวระบุเซสชั่น, ข้อมูลบางส่วนที่เก็บอยู่ในคุกกี้, หรือไฟล์ข้อมูลภายในเบราว์เซอร์เมื่อผู้ใช้ล็อกอินเข้าสู่ไซต์ ตัวตรวจสอบเซสชันจะถูกตรวจสอบตัวอย่างเช่นตลอดการสั่งซื้อทางออนไลน์เพื่อตรวจสอบว่าเบราว์เซอร์มีส่วนร่วมในธุรกรรม

ระหว่างการโจมตีแบบ CSRF คำขอของแฮ็กเกอร์จะถูกส่งผ่านเบราว์เซอร์ของเหยื่อ เว็บไซต์ตรวจสอบตัวระบุเซสชั่น แต่เว็บไซต์ไม่สามารถตรวจสอบเพื่อให้แน่ใจว่าคำขอมาจากคนที่เหมาะสม

ปัญหา CSRF ในเว็บไซต์ The New York Times 'ตามเอกสารการวิจัยช่วยให้ผู้โจมตีได้รับ อีเมลแอดเดรสของผู้ใช้ที่ล็อกอินเข้าเว็บไซต์ ที่อยู่ดังกล่าวอาจเป็นสแปม

เว็บไซต์ของหนังสือพิมพ์มีเครื่องมือที่ช่วยให้ผู้ใช้ที่เข้าสู่ระบบส่งอีเมลเรื่องราวไปให้คนอื่น หากผู้เข้าชมเหยื่อเว็บไซต์แฮ็กเกอร์จะส่งคำสั่งผ่านเบราว์เซอร์ของเหยื่อเพื่อส่งอีเมลจากเว็บไซต์ของกระดาษ หากที่อยู่อีเมลปลายทางเหมือนกับที่แฮกเกอร์ระบุไว้ที่อยู่อีเมลของเหยื่อจะถูกเปิดเผย

ณ วันที่ 24 กันยายนข้อบกพร่องนี้ยังไม่ได้รับการแก้ไขแม้ว่าผู้เขียนจะเขียนจดหมายแจ้งเมื่อวันที่กันยายน 2007

ปัญหาของไอเอ็นจีมีผลกระทบที่น่าตกใจมากขึ้น Zeller และ Felten เขียนข้อบกพร่องของ CSRF เพื่ออนุญาตให้มีการสร้างบัญชีเพิ่มเติมในนามของเหยื่อ นอกจากนี้ผู้โจมตีสามารถโอนเงินของเหยื่อเข้าบัญชีของตนเองได้ ไอเอ็นจีได้แก้ไขปัญหาดังกล่าวไว้แล้ว

ในเว็บไซต์ของ MetaFile แฮกเกอร์สามารถรับรหัสผ่านของบุคคลได้ ใน YouTube การโจมตีอาจเพิ่มวิดีโอลงใน "รายการโปรด" ของผู้ใช้และส่งข้อความโดยพลการในนามของผู้ใช้ด้วยการดำเนินการอื่น ๆ ในทั้งสองประเด็นปัญหา CSRF ได้รับการแก้ไขแล้ว

โชคดีที่ข้อบกพร่องของ CSRF หาได้ง่ายและสามารถแก้ไขได้ง่ายซึ่งผู้เขียนให้รายละเอียดทางเทคนิคในเอกสารของตน พวกเขายังได้สร้างแอดออน Firefox ที่ปกป้องการโจมตีแบบ CSRF บางประเภท