Fremtredende nettsteder har funnet alvorlig koding feil

To Princeton University-akademikere har funnet en type kodingsfeil på flere fremtredende nettsteder som kan bringe personopplysninger i fare og i et alarmerende tilfelle, tøm en bankkonto.

Typen feil, som kalles forespørsler om forespørsel på stedet (CSRF), tillater en angriper å utføre handlinger på et nettsted på vegne av et offer som allerede er logget inn på nettstedet.

Feil i CSRF har i stor grad blitt ignorert av webutviklere på grunn av mangel på kunnskap, skrev William Zeller og Edward Felten, som forfatter et forskningsarkiv om sine funn.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Feilen ble funnet på nettsidene til The New York Times; ING Direct, en amerikansk sparebank; Googles YouTube; og MetaFilter, et bloggsider.

For å utnytte en CSRF-feil må en angriper opprette en spesiell nettside og lokke et offer for siden. Det ondsinnede nettstedet er kodet for å sende en forespørsel på tvers av nettsiden via offerets nettleser til et annet nettsted.

Dessverre er programmeringsspråket som støtter Internett, HTML, det enkelt å gjøre to typer forespørsler, som begge kan være som brukes til CSRF-angrep, skrev forfatterne.

Dette faktum peker på hvordan webutviklere presser programmeringshylsen til å designe webtjenester, men noen ganger med utilsiktede konsekvenser.

"Årsaken til CSRF og lignende sårbarheter ligger trolig i kompleksiteten i dagens webprotokoller og den gradvise utviklingen av Internett fra en datapresentasjonsfasilitet til en plattform for interaktive tjenester, "ifølge avisen.

Noen nettsteder angir en øktidentifikator, et informasjonsoppslag lagret i en informasjonskapsel, eller en datafil i nettleseren når en person logger på nettstedet. Sessionsidentifikatoren blir sjekket, for eksempel gjennom et online kjøp, for å bekrefte at nettleseren engasjert seg i transaksjonen.

Under et CSRF-angrep blir hackerens forespørsel sendt gjennom offerets nettleser. Nettstedet sjekker sesjonsidentifikatoren, men nettstedet kan ikke sjekke for å sikre at forespørselen kom fra den riktige personen.

CSRF-problemet på The New York Times-webområdet, ifølge forskerpapiret, tillater en angriper å skaffe seg e-postadressen til brukeren som er logget inn på nettstedet. Denne adressen kan da potensielt bli spammet.

Avisens nettsted har et verktøy som lar innloggede brukere sende en historie til noen andre. Hvis besøkt av offeret, sender hackers nettsted automatisk en kommando gjennom offerets nettleser for å sende en e-post fra papirets nettsted. Hvis e-postadressen for destinasjonen er den samme som hackeren, vil offerets e-postadresse bli avslørt.

Fra 24. september var feilen ikke løst, selv om forfatterne skrev at de varslet avisen i september 2007.

INGs problem hadde mer alarmerende konsekvenser. Zeller og Felten skrev CSRF-feilen tillot en ekstra konto som skulle opprettes på vegne av et offer. Også en angriper kan overføre et offers penger til egen brukerkonto. ING har siden løst problemet, skrev de.

På MetaFiles nettsted kunne en hacker få tak i personens passord. På YouTube kan et angrep legge til videoer til brukerens "favoritter" og sende vilkårlig melding på vegne av en bruker, blant andre handlinger. På begge sider har CSRF-problemene blitt løst.

Heldigvis er CSRF-feilene enkle å finne og enkle å fikse, som forfatterne gir tekniske detaljer i papiret. De har også opprettet en Firefox-tillegg som forsvarer seg mot visse typer CSRF-angrep.