Σοβαρό κενό ασφαλείας σε ιστοσελίδες

Ειδικοί σε θέματα διαδικτυακής ασφάλειας προειδοποιούν για μια νέα απειλή που ελλοχεύει στο internet κι έχει τη μορφή ενός website bug. Ο κίνδυνος εντάσσεται στην κατηγορία cross-site request forgery [CSRF] κι έχει ήδη επιβεβαιωθεί σε τέσσερις τουλάχιστον περιπτώσεις. Σε μία από αυτές τις περιπτώσεις, οι ερευνητές διαπίστωσαν σημαντικό κενό ασφαλείας στην ιστοσελίδα του ασφαλιστικού κολοσσού ING.
- Οι επιθέσεις CSRF λαμβάνουν χώρα όταν μια ιστοσελίδα εκτελεί μια εντολή, δίχως πρώτα να βεβαιωθεί ότι η εντολή αυτή έχει ζητηθεί από τον εκάστοτε χρήστη. Έτσι, οι επιτήδειοι μπορούν να εκμεταλλευτούν την ατέλεια εισάγοντας κώδικα στην ιστοσελίδα που πραγματοποιεί την επίθεση, με αποτέλεσμα ο browser να στέλνει εντολές σε μια ιστοσελίδα, όπως αυτή της ING. Σε αυτήν την περίπτωση, το site της ING εκτελεί την εντολή που έλαβε από τον browser, θεωρώντας ότι την έχει δώσει ο χρήστης.
Η επίθεση πραγματοποιείται τόσο από τον Internet Explorer, όσο και από τον Firefox, ενώ το πρωτόκολλο secure sockets layer [SSL] φέρεται να βεβαιώνει ότι η εντολή έχει προέλθει από το χρήστη και όχι από κακόβουλο κώδικα, αδυνατώντας έτσι να τη σταματήσει.
Η περίπτωση της ING κρίνεται ως ιδιαιτέρως σοβαρή, καθώς το bug μπορεί να αξιοποιηθεί για μεταφορά κεφαλαίων ή δημιουργία νέων λογαριασμών. Εν τω μεταξύ, το ίδιο bug έχει εντοπιστεί και στις ιστοσελίδες των New York Times, του YouTube και του MetaFilter, όπου χρησιμοποιείται για την άντληση στοιχείων και ενέργειες σχετικά με τις διευθύνσεις και του λογαριασμούς των χρηστών.

, , , , , , ,

ΕΙΣΟΔΟΣ ΣΤΟ FORUM

Το δημοφιλεστερο τεχνολογικο blog. Ειδησεις και σχολια για τα καλά νεα της τεχνολογια από την πλευρα των χρηστων.

Related Posts with Thumbnails

FACEBOOK

LIVE RADIO

Live Radio

Social Icons

Sample Text

Followers

ΤΕΧΝΟΛΟΓΙΑ ΣΤΟ FREEGR

ΤΟ FREEGR.GR ΣΥΝΤΟΜΑ ΑΝΑΒΑΘΜΙΖΕΤΑΙ ΓΙΑ ΝΑ ΠΡΟΣΦΕΡΕΙ ΠΕΡΙΣΣΟΤΕΡΕΣ ΥΠΗΡΕΣΙΕΣ.