Prominente websites waarvan is vastgesteld dat ze ernstige codering hebben Gebrek

CSRF-fouten zijn grotendeels genegeerd door webontwikkelaars vanwege een gebrek aan kennis, schreef William Zeller en Edward Felten, die auteur van een onderzoeksartikel over hun bevindingen.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

De fout werd gevonden op de websites van The New York Times; ING Direct, een Amerikaanse spaarbank; Google's YouTube; en MetaFilter, een blogsite.

Om misbruik te maken van een CSRF-fout, moet een aanvaller een speciale webpagina maken en een slachtoffer naar de pagina lokken. De kwaadwillende website is gecodeerd om een ​​cross-site verzoek via de browser van het slachtoffer naar een andere site te verzenden.

Helaas maakt de programmeertaal die ten grondslag ligt aan internet, HTML, het gemakkelijk om twee typen verzoeken uit te voeren, die beide kunnen worden uitgevoerd gebruikt voor CSRF-aanvallen, schreven de auteurs.

Dat feit wijst erop hoe webontwikkelaars de programmeeromslag duwen om webservices te ontwerpen, maar soms met onbedoelde gevolgen.

"De oorzaak van CSRF en soortgelijke kwetsbaarheden ligt waarschijnlijk in de complexiteit van de hedendaagse webprotocollen en de geleidelijke evolutie van het web van een datapresentatiefaciliteit tot een platform voor interactieve services, "aldus de krant.

Sommige websites plaatsen een sessie-identifier, een stuk informatie dat in een cookie is opgeslagen, of een gegevensbestand in de browser, wanneer een persoon zich aanmeldt op de site. De sessie-ID wordt bijvoorbeeld gecontroleerd tijdens een online aankoop om te controleren of de browser de transactie heeft uitgevoerd.

Tijdens een CSRF-aanval wordt het verzoek van de hacker door de browser van het slachtoffer geleid. De website controleert de sessie-id, maar de site kan niet controleren of de aanvraag afkomstig is van de juiste persoon.

Het CSRF-probleem op de website van de New York Times, stelt de aanvaller volgens het onderzoekspaper in staat om een het e-mailadres van de gebruiker die op de site is ingelogd. Dat adres kan dan mogelijk worden gespamd.

De website van de krant heeft een hulpmiddel waarmee ingelogde gebruikers een verhaal per e-mail naar iemand anders kunnen e-mailen. Als het door het slachtoffer wordt bezocht, stuurt de website van de hacker automatisch een opdracht via de browser van het slachtoffer om een ​​e-mail van de website van het papier te verzenden. Als het bestemmings-e-mailadres hetzelfde is als dat van de hacker, wordt het e-mailadres van het slachtoffer bekendgemaakt.

Vanaf 24 september was de fout niet verholpen, hoewel de auteurs schreven dat ze de krant in september hadden gemeld 2007.

Het probleem van ING had meer alarmerende gevolgen. Zeller en Felten hebben de CSRF-fout geschreven, waardoor een aanvullend account kan worden gemaakt namens een slachtoffer. Ook kan een aanvaller het geld van een slachtoffer overzetten naar zijn eigen account. ING heeft het probleem inmiddels verholpen, zo schreven ze.

Op de website van MetaFile kon een hacker het wachtwoord van een persoon verkrijgen. Op YouTube kan een aanval video's toevoegen aan de 'favorieten' van een gebruiker en willekeurige berichten verzenden namens een gebruiker, naast andere acties. Op beide sites zijn de CSRF-problemen opgelost.

Gelukkig zijn CSRF-fouten eenvoudig te vinden en eenvoudig te herstellen, wat de auteurs in hun artikel technische details vermelden. Ze hebben ook een Firefox-invoegtoepassing gemaakt die bescherming biedt tegen bepaalde soorten CSRF-aanvallen.