المكونات

تم العثور على مواقع ويب بارزة لخطأ ترميز جسيم

الكاميراء الخفية 2019 - الحلقة الأولى

الكاميراء الخفية 2019 - الحلقة الأولى
Anonim

وجد اثنان من الأكاديميين بجامعة برينستون نوعًا من الخلل في الترميز على العديد من المواقع الإلكترونية البارزة التي قد تعرض البيانات الشخصية للخطر وفي حالة واحدة تنذر بالخطر ، استنزف حسابًا مصرفيًا.

نوع الخلل ، الذي يُسمى التزوير عبر الموقع (CSRF) ، يسمح للمهاجم بتنفيذ إجراءات على موقع ويب نيابة عن ضحية تم تسجيل دخوله بالفعل إلى الموقع.

تم تجاهل العيوب CSRF إلى حد كبير من قبل مطوري الويب بسبب نقص المعرفة ، وكتب ويليام زيلر و إدوارد فلتن ، الذي كتب بحثًا حول النتائج التي توصلوا إليها.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

تم العثور على الخلل في مواقع الويب لصحيفة نيويورك تايمز. ING Direct ، بنك ادخار في الولايات المتحدة ؛ يوتيوب جوجل. و MetaFilter ، موقع تدوين.

لاستغلال خطأ CSRF ، يجب على المهاجم إنشاء صفحة ويب خاصة وجذب ضحية إلى الصفحة. يتم ترميز موقع الويب الخبيث لإرسال طلب عبر الموقع من خلال متصفح الضحية إلى موقع آخر.

لسوء الحظ ، فإن لغة البرمجة التي تدعم الإنترنت ، HTML ، تجعل من السهل القيام بنوعين من الطلبات ، وكلاهما يمكن أن يكون يستخدم المؤلفون في هجمات CSRF.

تشير هذه الحقيقة إلى كيفية دفع مطوري الويب لظرف البرمجة لتصميم خدمات الويب ولكن في بعض الأحيان بعواقب غير مقصودة.

"السبب الجذري لـ CSRF ونقاط الضعف المماثلة يكمن في تعقيدات بروتوكولات الويب الحالية والتطور التدريجي للويب من مرفق عرض البيانات إلى منصة للخدمات التفاعلية ، "وفقا للورقة.

بعض مواقع الويب تحدد معرف جلسة ، جزء من المعلومات المخزنة في ملف تعريف الارتباط ، أو ملف بيانات داخل المتصفح ، عندما يسجل شخص ما الدخول إلى الموقع. يتم فحص مُعرِّف الجلسة ، على سبيل المثال ، خلال عملية الشراء عبر الإنترنت ، للتحقق من أن المتصفَّح الذي يعمل في المعاملة.

أثناء هجوم CSRF ، يتم تمرير طلب الهاكر من خلال متصفح الضحية. يتحقق موقع الويب من معرف الجلسة ، لكن الموقع لا يستطيع التحقق للتأكد من أن الطلب جاء من الشخص المناسب.

تسمح مشكلة CSRF على موقع الويب الخاص بـ New York Times ، وفقًا للورقة البحثية ، للمهاجم بالحصول على عنوان البريد الإلكتروني للمستخدم الذي قام بتسجيل الدخول إلى الموقع. يمكن أن يكون هذا العنوان محتمل أن يكون مزعجًا.

يحتوي موقع الصحيفة على الويب على أداة تسمح للمستخدمين الذين يسجلون الدخول بإرسال رسالة إلكترونية إلى شخص آخر. في حالة زيارة الضحية ، يرسل موقع الويب الخاص بالهاكر تلقائيًا أمرًا من خلال متصفح الضحية لإرسال بريد إلكتروني من موقع الويب الخاص بالورقة. إذا كان عنوان البريد الإلكتروني الوجهة هو نفسه المتسلل ، فسيتم كشف عنوان البريد الإلكتروني للضحية.

اعتبارًا من 24 سبتمبر ، لم يتم إصلاح الخلل ، على الرغم من أن المؤلفين كتبوا إخطار الصحيفة في سبتمبر عام 2007.

وكانت مشكلة ING أكثر إثارة للقلق. كتب زيلر وفلتين أن خطأ CSRF يسمح بإنشاء حساب إضافي نيابة عن الضحية. أيضا ، يمكن للمهاجم نقل أموال الضحية إلى حسابهم الخاص. لقد قام ING منذ ذلك الحين بإصلاح المشكلة ، كما كتبوا.

على موقع MetaFile على الويب ، يمكن للهاكر الحصول على كلمة مرور الشخص. على موقع YouTube ، يمكن لأي هجوم إضافة مقاطع فيديو إلى "المفضلة" للمستخدم وإرسال رسائل عشوائية نيابة عن المستخدم ، ضمن إجراءات أخرى. على كلا الموقعين ، تم إصلاح مشاكل CSRF.

لحسن الحظ ، من السهل العثور على عيوب CSRF وتسهيل إصلاحها ، والتي يقدم المؤلفون التفاصيل الفنية عنها في ورقتهم. لقد قاموا أيضًا بإنشاء إضافات فيرفكس للدفاع ضد أنواع معينة من هجمات CSRF.