Situs Web Terkenal Ditemukan Memiliki Coding Cacat Serius

Dua akademisi Universitas Princeton telah menemukan jenis kesalahan coding pada beberapa situs Web terkemuka yang dapat membahayakan data pribadi dan dalam satu kasus yang mengkhawatirkan, menguras rekening bank.

Jenis cacat, yang disebut pemalsuan permintaan lintas situs (CSRF), memungkinkan penyerang untuk melakukan tindakan di situs Web atas nama korban yang sudah masuk ke situs.

Cacat CSRF sebagian besar telah diabaikan oleh pengembang Web karena kurangnya pengetahuan, tulis William Zeller dan Edward Felten, yang menulis makalah penelitian tentang temuan mereka.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Cacat ditemukan di situs Web The New York Times; ING Direct, bank tabungan AS; Google YouTube; dan MetaFilter, sebuah situs blog.

Untuk mengeksploitasi cacat CSRF, penyerang harus membuat halaman Web khusus dan memancing korban ke halaman. Situs Web berbahaya dikodekan untuk mengirim permintaan lintas situs melalui browser korban ke situs lain.

Sayangnya bahasa pemrograman yang mendukung Internet, HTML, membuatnya mudah untuk melakukan dua jenis permintaan, yang keduanya dapat digunakan untuk serangan CSRF, para penulis menulis.

Fakta itu menunjukkan bagaimana pengembang Web mendorong amplop pemrograman untuk merancang layanan Web tetapi kadang-kadang dengan konsekuensi yang tidak diinginkan.

"Penyebab utama CSRF dan kerentanan serupa mungkin terletak pada kerumitan protokol Web saat ini dan evolusi bertahap Web dari fasilitas presentasi data ke platform untuk layanan interaktif, "menurut makalah.

Beberapa situs web menetapkan pengidentifikasi sesi, sepotong informasi yang disimpan dalam cookie, atau file data dalam browser, ketika seseorang masuk ke situs. Pengenal sesi diperiksa, misalnya, di seluruh pembelian online, untuk memverifikasi bahwa browser terlibat dalam transaksi.

Selama serangan CSRF, permintaan peretas dilewatkan melalui browser korban. Situs Web memeriksa pengidentifikasi sesi, tetapi situs tidak dapat memeriksa untuk memastikan bahwa permintaan datang dari orang yang tepat.

Masalah CSRF di situs web New York Times, menurut makalah penelitian, memungkinkan penyerang untuk mendapatkan alamat e-mail pengguna yang masuk ke situs. Alamat itu kemudian berpotensi menjadi spam.

Situs web surat kabar memiliki alat yang memungkinkan pengguna yang login untuk mengirim e-mail cerita kepada orang lain. Jika dikunjungi oleh korban, situs Web peretas secara otomatis mengirim perintah melalui browser korban untuk mengirim e-mail dari situs Web koran. Jika alamat e-mail tujuan sama dengan peretas, alamat e-mail korban akan terungkap.

Pada 24 September, cacat belum diperbaiki, meskipun penulis menulis mereka memberi tahu surat kabar pada bulan September. 2007.

Masalah ING memiliki konsekuensi yang lebih mengkhawatirkan. Zeller dan Felten menulis cacat CSRF memungkinkan akun tambahan dibuat atas nama korban. Juga, penyerang dapat mentransfer uang korban ke akun mereka sendiri. ING sejak itu memperbaiki masalahnya, mereka menulis.

Di situs Web MetaFile, seorang peretas dapat memperoleh kata sandi seseorang. Di YouTube, serangan dapat menambahkan video ke "favorit" pengguna dan mengirim pesan acak atas nama pengguna, di antara tindakan lainnya. Di kedua situs, masalah CSRF telah diperbaiki.

Untungnya, kelemahan CSRF mudah ditemukan dan mudah diperbaiki, yang penulis berikan rincian teknis di dalam makalah mereka. Mereka juga membuat add-on Firefox yang membela terhadap beberapa jenis serangan CSRF.