심각한 코딩 결함이있는 주요 웹 사이트

교차 사이트 요청 위조라고하는 결함 유형 (CSRF)는 공격자가 이미 사이트에 로그인 한 희생자를 대신하여 웹 사이트에 대한 작업을 수행 할 수있게합니다.

지식의 부족으로 인해 CSRF의 결함은 웹 개발자들에 의해 거의 무시되어 왔으며 William Zeller와

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

이 결함은 The New York Times의 웹 사이트에서 발견되었습니다. 미국 저축 은행 ING Direct; Google의 YouTube; 및 블로깅 사이트 인 MetaFilter를 포함합니다.

CSRF 결함을 악용하려면 침입자가 특별한 웹 페이지를 만들어 해당 페이지의 희생자를 유혹해야합니다. 악의적 인 웹 사이트는 희생자의 브라우저를 통해 다른 사이트로 크로스 사이트 요청을 보내도록 코딩되어 있습니다.

유감스럽게도 인터넷을 뒷받침하는 프로그래밍 언어 인 HTML을 사용하면 두 가지 유형의 요청을 쉽게 처리 할 수 ​​있습니다. CSRF 공격에 사용 된 것으로 밝혀졌다.

그 사실은 웹 개발자가 웹 서비스를 디자인하기 위해 프로그래밍 엔티티를 밀어 붙 였지만 때로 의도하지 않은 결과를 초래하는 것을 가리킨다.

"CSRF의 근본 원인과 유사한 취약점은 아마도 오늘날의 웹 프로토콜의 복잡성과 데이터 프리젠 테이션 기능에서 대화 형 서비스를위한 플랫폼으로의 점진적인 웹 진화 "라고 설명했다.

일부 웹 사이트는 세션 식별자, 쿠키에 저장된 정보, 또는 사람이 사이트에 로그온 할 때 브라우저 내의 데이터 파일. 예를 들어, 온라인 구매를 통해 세션 식별자가 확인되면 브라우저가 거래에 참여했는지 확인합니다.

CSRF 공격 중 해커의 요청은 피해자의 브라우저를 통해 전달됩니다. 웹 사이트는 세션 식별자를 확인하지만, 사이트는 적절한 사람으로부터 요청을 받았는지 확인할 수 없습니다.

The New York Times 웹 사이트의 CSRF 문제는 연구 보고서에 따르면 공격자가 사이트에 로그인 한 사용자의 전자 메일 주소 그 주소는 잠재적으로 스팸 메일이 될 수 있습니다.

신문의 웹 사이트에는 로그인 한 사용자가 다른 사람에게 전자 메일로 기사를 보낼 수있는 도구가 있습니다. 희생자가 방문하면 해커의 웹 사이트는 자동으로 희생자의 브라우저를 통해 명령을 전송하여 해당 웹 사이트에서 전자 메일을 보냅니다. 대상 전자 메일 주소가 해커의 주소와 동일한 경우 피해자의 전자 메일 주소가 공개됩니다.

9 월 24 일 현재이 결함은 수정되지 않았지만 9 월에 ING의 문제는 더 놀라운 결과를 낳았습니다. Zeller와 Felten은 CSRF 결함으로 인해 희생자를 대신하여 추가 계정을 만들 수있었습니다. 또한 공격자는 피해자의 돈을 자신의 계좌로 이체 할 수 있습니다. ING는 그 이후로이 문제를 수정했다고 썼다.

MetaFile의 웹 사이트에서 해커는 사람의 암호를 얻을 수있다. YouTube에서 공격은 사용자의 "즐겨 찾기"에 동영상을 추가하고 사용자를 대신하여 다른 작업과 같은 임의의 메시지를 보낼 수 있습니다. 두 사이트 모두에서 CSRF 문제가 수정되었습니다.

운이 좋게도 CSRF 결함은 찾기 쉽고 수정하기 쉽습니다. 저자는 자신의 논문에서 기술적 세부 사항을 제공합니다. 그들은 또한 특정 종류의 CSRF 공격을 방어하는 Firefox 애드온을 만들었습니다.