传奇帮180课-绿盟GOM登陆器配置防劫持列表教程
两位普林斯顿大学的学者已经在几个着名的网站上发现了一种可能危及个人数据的编码缺陷,并且在一个令人担忧的情况下,会耗尽银行账户。
缺陷类型称为跨站点请求伪造(CSRF)允许攻击者代表已经登录该网站的受害者在网站上执行操作。
由于缺乏知识,Web开发人员很大程度上忽视了CSRF漏洞,William Zeller和Edward Feeten撰写了一篇关于他们发现的研究报告。
[进一步阅读:如何从Windows PC中删除恶意软件]该漏洞发现于纽约时报的网站上;美国储蓄银行ING Direct; Google的YouTube;和一个博客网站MetaFilter
为了利用CSRF漏洞,攻击者必须创建一个特殊的Web页面并引诱受害者访问页面。恶意网站的编码是通过受害者的浏览器向另一个网站发送一个跨站请求。
不幸的是,支持互联网和HTML的编程语言使得两种类型的请求变得容易,两种请求都可以用于CSRF攻击,作者写道:
这个事实表明Web开发人员如何推动编程的范围来设计Web服务,但有时会产生意想不到的后果。“CSRF和类似漏洞的根本原因可能在于“当前Web协议的复杂性以及Web从数据表示设备逐渐演变为交互式服务平台”,一些网站设置了会话标识符,存储在cookie中的一条信息,或浏览器中的数据文件,当一个人登录到该网站时。例如,在整个在线购买过程中检查会话标识符,以验证浏览器是否参与交易。
根据研究报告,纽约时报网站上的CSRF问题允许攻击者获得登录该网站的用户的电子邮件地址。那么这个地址就可能被垃圾邮件所淹没。
该报的网站有一个工具,可以让登录用户通过电子邮件向其他人发送故事。如果受害者访问,黑客的网站会自动通过受害者的浏览器发送一条命令,从该网站的网站发送一封电子邮件。如果目的地电子邮件地址与黑客的地址相同,受害者的电子邮件地址将被公开。
截至9月24日,该漏洞尚未修复,尽管作者写道他们在9月份通知了该报ING的问题带来了更令人震惊的后果。 Zeller和Felten写了CSRF缺陷,允许代表受害者创建额外帐户。另外,攻击者可以将受害者的钱转移到自己的账户中。他们写道,ING已经解决了这个问题。
在MetaFile的网站上,黑客可以获得一个人的密码。在YouTube上,攻击可能会将视频添加到用户的“收藏夹”,并代表用户发送任意邮件等。在这两个站点上,CSRF问题都已得到解决。
幸运的是,CSRF漏洞很容易找到并且易于修复,作者在他们的论文中提供了技术细节。他们还创建了一个Firefox插件,可以抵御某些类型的CSRF攻击。