Istaknuti Web sajtovi imaju ozbiljne slabe tačke
Dva akademika za Princeton univerziteta pronašla su određeni tip slabe tačke u istaknutim Web sajtovima koja bi mogla da ugrozi lične podatke a u najgorem slučaju mogla bi da dovede do ispražnjavanja bankarskog naloga.
Ovaj tip slabe tačke nosi naziv CSRF (Cross-site Request Forgery) i potencijalnim napadačima omogućava da vrše različite radnje na Web sajtu u ime žrtve koja je već ulogovana na određeni sajt. CSRF slabe tačke su godinama ignorisane od strane Web programera usled manjka stručnosti, navode William Zeller i Edward Felten, koji su objavili i studiju istraživanja baziranu na njihovim nalazima.
Slaba tačka je pronađena na Web sajtovima The New York Times, ING Direct, Google YouTube i MetaFilter-u. Za iskorišćavanje jedne CSRF slabe tačke potencijalni napadač mora da kreira specijalnu Web stranu i da nakon toga namami korisnika da je poseti. Zlonamerni Web sajt je kodiran tako da šalje cross-site zahteve putem pretraživača žrtve na neki drugi sajt.
Nažalost, programski jezik koji čini osnovu internet-a i HTML-a olakšava vršenje ovakvih tipova zahteva tako da se obe mogu bez ikakvih smetnji korisiti za CSRF napade, navode ova dva autora. Činjenice ukazuju na to kako Web kreatori forsiraju programsko okruženje za dizajniranje Web servisa ali ponekad uz neželjene posledice. Glavni uzrok CSRF i sličnih slabih tačaka leže u složenosti današnjih Web protokola kao i postepenoj evoluciji Web-a.
Neki Web sajtovi određuju identifikovanje sesije, deo informacije koja se smešta u kolačiće ili fajl podataka u okviru pretraživača kada se osoba uloguje na određeni sajt. Tada se identifikovanje sesije provera, recimo putem online kupovine, da bi se proverilo da je pretraživač aktiviran u transakciji. Tokom CSRF napada, zahtev hakera se prebacuje putem žrtvinog pretraživača.
Web sajt tada proverava identitet sesije ali sajt ne može biti proveren da bi se osiguralo da zahtev dolazi od prave osobe. CSRF problem, konkretno na The New York Times Web sajtu omogućava napadaču da dobije e-mail adrese korisnika koji je ulogovan na sajt a nakon toga ta adresa može biti spamovana. Ukoliko bude posećen od strane žrtve, haker-ov Web sajt automatski šalje komandu putem pretraživača žrtve za slanje email-a putem Web sajta ovih novina a ukoliko je email adresa ista kao adresa hakera, e-mail adresa žrtve će biti obelodanjena.
Iako su autori ove studije o ovoj slaboj tački obavestili čelne ljude navedenog sajta, za sada još ništa nije urađeno po tom pitanju. Pored njih i ostale kompanije imaju slične probleme. Problem ING Direct banke ipak ima alarmantnije posledice. Autori navode da u ovom slučaju potencijalni napadač korišćenje CSRF slabe tačke može izvršiti prebacivanje novca sa žrtvinog na svoj račun. Ova kuća je, međutim, nakon prijave problema uklonila postojeću slabu tačku. Srećom, CSRF slabe tačke veoma je lako otkriti ali i zakrpiti a autori ove studije su u okviru nje dali i detaljna uputstva kako se to može uraditi a kreirali su i Firefox dodatak koji štiti od određenih vrsta CSRF napada.
Informacija preuzeta sa: http://www.itsvet.com/tekst/is...zbiljne-slabe-ta%C4%8Dke/1820/
 |  |
 |
