Siti Web di spicco rilevati con gravi errori di codifica

Due accademici della Princeton University hanno trovato un tipo di errore di codifica su diversi siti Web importanti che potrebbero mettere a repentaglio i dati personali e, in un caso allarmante, svuotare un conto bancario.

Il tipo di difetto, chiamato falsificazione di richieste cross-site (CSRF), consente a un utente malintenzionato di eseguire azioni su un sito Web per conto di una vittima che ha già effettuato l'accesso al sito.

I difetti CSRF sono stati ignorati dagli sviluppatori Web a causa della mancanza di conoscenza, ha scritto William Zeller e Edward Felten, autore di un documento di ricerca sui loro risultati.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Il difetto è stato trovato sui siti Web del New York Times; ING Direct, una cassa di risparmio statunitense; YouTube di Google; e MetaFilter, un sito di blog.

Per sfruttare un difetto CSRF, un utente malintenzionato deve creare una pagina Web speciale e attirare una vittima sulla pagina. Il sito Web dannoso è codificato per inviare una richiesta cross-site tramite il browser della vittima su un altro sito.

Sfortunatamente il linguaggio di programmazione che è alla base di Internet, HTML, rende facile fare due tipi di richieste, entrambe le quali possono essere usato per gli attacchi CSRF, gli autori hanno scritto.

Questo fatto indica come gli sviluppatori Web stanno spingendo l'inviluppo di programmazione per progettare servizi Web ma a volte con conseguenze indesiderate.

"La causa principale di CSRF e vulnerabilità simili risiede probabilmente nel complessità dei moderni protocolli Web e la graduale evoluzione del Web da una funzione di presentazione dei dati a una piattaforma per servizi interattivi ", secondo il documento.

Alcuni siti Web impostano un identificatore di sessione, una parte di informazione memorizzata in un cookie, o un file di dati all'interno del browser, quando una persona accede al sito. L'identificatore di sessione viene controllato, ad esempio, durante un acquisto online, per verificare che il browser sia impegnato nella transazione.

Durante un attacco CSRF, la richiesta dell'hacker viene passata attraverso il browser della vittima. Il sito Web controlla l'identificativo della sessione, ma il sito non può controllare che la richiesta provenga dalla persona giusta.

Il problema CSRF sul sito Web del New York Times, secondo il documento di ricerca, consente a un utente malintenzionato di ottenere l'indirizzo e-mail dell'utente che ha effettuato l'accesso al sito. Questo indirizzo potrebbe potenzialmente essere spam.

Il sito Web del giornale ha uno strumento che consente agli utenti che hanno effettuato il login di inviare per e-mail una storia a qualcun altro. Se visitato dalla vittima, il sito Web dell'hacker invia automaticamente un comando tramite il browser della vittima per inviare una e-mail dal sito Web della carta. Se l'indirizzo e-mail di destinazione è uguale a quello dell'hacker, verrà rivelato l'indirizzo e-mail della vittima.

A partire dal 24 settembre, il difetto non è stato corretto, sebbene gli autori abbiano scritto di aver informato il giornale a settembre 2007.

Il problema di ING ha avuto conseguenze più allarmanti. Zeller e Felten hanno scritto che il difetto CSRF ha permesso di creare un account aggiuntivo per conto di una vittima. Inoltre, un utente malintenzionato potrebbe trasferire il denaro di una vittima nel proprio account. ING ha risolto il problema, hanno scritto.

Sul sito Web di MetaFile, un hacker potrebbe ottenere la password di una persona. Su YouTube, un attacco può aggiungere video ai "preferiti" di un utente e inviare messaggi arbitrari per conto di un utente, tra le altre azioni. Su entrambi i siti, i problemi CSRF sono stati risolti.

Fortunatamente, i difetti CSRF sono facili da trovare e facili da risolvere, che gli autori forniscono nel dettaglio dei dettagli tecnici. Hanno anche creato un componente aggiuntivo per Firefox che difende alcuni tipi di attacchi CSRF.