Επικίνδυνο κενό ασφαλείας σε ιστοσελίδες
Page 1 of 1
Επικίνδυνο κενό ασφαλείας σε ιστοσελίδες
Οι επιθέσεις CSRF λαμβάνουν χώρα όταν μια ιστοσελίδα εκτελεί μια εντολή
δίχως πρώτα να βεβαιωθεί ότι η εντολή αυτή έχει ζητηθεί από τον
εκάστοτε χρήστη. Έτσι οι επιτήδειοι μπορούν να εκμεταλλευτούν την
ατέλεια εισάγοντας κώδικα στην ιστοσελίδα που πραγματοποιεί την επίθεση
με αποτέλεσμα ο browser να
στέλνει εντολές σε μια ιστοσελίδα όπως αυτή της ING. Σε αυτήν την
περίπτωση το site της ING εκτελεί την εντολή που έλαβε από τον browser
θεωρώντας ότι την έχει δώσει ο χρήστης.
Η επίθεση πραγματοποιείται τόσο από τον Internet Explorer όσο και από τον Firefox ενώ το πρωτόκολλο secure sockets layer
[SSL] φέρεται να βεβαιώνει ότι η εντολή έχει προέλθει από το χρήστη και
όχι από κακόβουλο κώδικα αδυνατώντας έτσι να τη σταματήσει.
Η περίπτωση της ING κρίνεται ως ιδιαιτέρως σοβαρή καθώς το bug μπορεί να αξιοποιηθεί για μεταφορά κεφαλαίων ή δημιουργία νέων λογαριασμών. Εν τω μεταξύ το ίδιο bug έχει εντοπιστεί και στις ιστοσελίδες των New York Times του YouTube και του MetaFilter όπου χρησιμοποιείται για την άντληση στοιχείων και ενέργειες σχετικά με τις διευθύνσεις και του λογαριασμούς των χρηστών.
Πηγή: The Register
δίχως πρώτα να βεβαιωθεί ότι η εντολή αυτή έχει ζητηθεί από τον
εκάστοτε χρήστη. Έτσι οι επιτήδειοι μπορούν να εκμεταλλευτούν την
ατέλεια εισάγοντας κώδικα στην ιστοσελίδα που πραγματοποιεί την επίθεση
με αποτέλεσμα ο browser να
στέλνει εντολές σε μια ιστοσελίδα όπως αυτή της ING. Σε αυτήν την
περίπτωση το site της ING εκτελεί την εντολή που έλαβε από τον browser
θεωρώντας ότι την έχει δώσει ο χρήστης.
Η επίθεση πραγματοποιείται τόσο από τον Internet Explorer όσο και από τον Firefox ενώ το πρωτόκολλο secure sockets layer
[SSL] φέρεται να βεβαιώνει ότι η εντολή έχει προέλθει από το χρήστη και
όχι από κακόβουλο κώδικα αδυνατώντας έτσι να τη σταματήσει.
Η περίπτωση της ING κρίνεται ως ιδιαιτέρως σοβαρή καθώς το bug μπορεί να αξιοποιηθεί για μεταφορά κεφαλαίων ή δημιουργία νέων λογαριασμών. Εν τω μεταξύ το ίδιο bug έχει εντοπιστεί και στις ιστοσελίδες των New York Times του YouTube και του MetaFilter όπου χρησιμοποιείται για την άντληση στοιχείων και ενέργειες σχετικά με τις διευθύνσεις και του λογαριασμούς των χρηστών.
Πηγή: The Register
Similar topics
» Επικίνδυνο κενό ασφαλείας στον Internet Explorer
» Η Microsoft έτοιμη να αντιμετωπίσει επικίνδυνο κενό ασφαλείας στα Windows
» Σημαντικό κενό ασφαλείας στο G1 smartphone
» Κενό ασφαλείας στα Windows Vista
» Mεγάλη ανησυχία για κενό ασφαλείας του Flash Player
» Η Microsoft έτοιμη να αντιμετωπίσει επικίνδυνο κενό ασφαλείας στα Windows
» Σημαντικό κενό ασφαλείας στο G1 smartphone
» Κενό ασφαλείας στα Windows Vista
» Mεγάλη ανησυχία για κενό ασφαλείας του Flash Player
Page 1 of 1
Permissions in this forum:
You cannot reply to topics in this forum
|
|