Daha önce cross-site saldırıları ve güvenlik sanatı yazısında belirttiğimiz gibi CSRF (Cross-Site Request Forgery) saldırıları her geçen gün daha tehlikeli hale gelmekte. Özellikle arama formları, üyelik sistemleri gibi istek gönderen bölümlere sahip dinamik sayfalarda yapılan sahte (forge) istekler CSRF zaafiyetlerinin oluşmasına neden oluyor.
Bir grup güvenlik araştırmacısı bu tehlikeyi göstermek için 4 çok büyük ve popüler web sitesinde CSRF zaafiyetlerinin olduğunu gösterdi.
1. Youtube (youtube.com)
Durum: Düzeltildi.
Popüler video paylaşım sitesi Youtube'ta CSRF saldırılarıyla bir kişinin kendisini başka bir kullanıcının arkadaş listesine ya da bir videoyu yine başka bir kullanıcının favorileri arasına eklemesi mümkün. Dahası yine bir kullanıcının hesabı ile başkalarına mesaj atılabiliyor.
2. ING Direct (ingdirect.com)
Durum: Düzeltildi.
Dünyaca ünlü ING Bankasının bir servisi olan IngDirect'te CSRF saldırılarıyla ek hesaplar yaratmak ve hesaplar arası transferler yapmak mümkün.
3. Metafilter (metafilter.com)
Durum: Düzeltildi.
Popüler weblog servisi Metafilter'da CSRF saldırılarıyla bir kullanıcı hesabı tamamen kontrol edilebilmekte. Ayrıca "şifremi unuttum" fonksiyonu ile kullanıcı şifresi saldırganın e-posta adresine gönderilebilmekte.
Hiç yorum yok:
Yorum Gönder