ä¸è¦å²ç¬æåçæ§
Princeton Universityの2人の学者は、個人情報を危険にさらす可能性のあるいくつかの有名なWebサイトにコード違反の種類を発見し、 (CSRF)は、攻撃者が既にサイトにログインしている犠牲者に代わってWebサイト上で行動を起こすことを可能にします。
CSRFの欠陥は、知識の不足によりWeb開発者によって大部分無視されています。
[詳しい情報:あなたのWindows PCからマルウェアを削除する方法]
この欠陥はThe New York TimesのWebサイトで発見されました。米国の貯蓄銀行ING Direct。 GoogleのYouTube;ブログサイトのMetaFilterCSRFの欠陥を悪用するには、攻撃者は特別なWebページを作成し、そのページの犠牲者を誘惑しなければなりません。悪意のあるWebサイトは、被害者のブラウザから他のサイトにクロスサイト要求を送信するようにコードされています。
残念ながら、インターネットHTMLを支えるプログラミング言語は、2種類の要求を簡単に実行できます。
その事実は、Web開発者がWebサービスを設計するためにプログラミングエンベロープを推進しているが、意図しない結果を招いていることを指摘している。
"CSRFの根本的な原因と同様の脆弱性はおそらく今日のWebプロトコルの複雑さとデータ提示設備から対話型サービスのプラットフォームへの段階的なWebの進化 "人がサイトにログオンすると、ブラウザ内のデータファイルにアクセスできます。セッションの識別子は、例えば、オンライン購入の間、ブラウザがトランザクションに従事していることを確認するためにチェックされる。
CSRF攻撃の間、ハッカーの要求は被害者のブラウザを通過する。 Webサイトはセッション識別子を確認しますが、サイトが正しい人物からのものであることを確認することはできません。
The New York TimesのWebサイトのCSRF問題は、研究論文によると、攻撃者は、サイトにログインしているユーザーの電子メールアドレス。このアドレスにはスパムメールが送信される可能性があります。
新聞のWebサイトには、ログインしたユーザーが他の人に電子メールで話を聞けるツールがあります。被害者が訪問した場合、ハッカーのWebサイトは被害者のブラウザを介して自動的にコマンドを送信し、Webサイトから電子メールを送信します。宛先の電子メールアドレスがハッカーのものと同じであれば、被害者の電子メールアドレスが明らかになる
9月24日現在、脆弱性は修正されていないが、9月に新聞に通知INGの問題はより驚くべき結果をもたらしました。 ZellerとFeltenはCSRFの欠陥を書いて、被害者のために追加のアカウントを作成することを許可しました。また、攻撃者は被害者のお金を自分のアカウントに移すことができます。
MetaFileのWebサイトでは、ハッカーが個人のパスワードを取得する可能性があると同氏は書いている。 YouTubeでは、攻撃によってユーザーの「お気に入り」に動画が追加され、他の操作の中からユーザーのために任意のメッセージが送信される可能性があります。両方のサイトでCSRFの問題が修正されました。幸いにも、CSRFの脆弱性は見つけやすく、修正が容易です。彼らはまた、特定の種類のCSRF攻撃に対して防御するFirefoxアドオンを作成しました。