Для того чтобы подчеркнуть опасность некоторых экзотических форм
внутрисайтовых уязвимостей, эксперты из Принстонского Университета
задокументировали четыре случая межсайтовой подделки запросов, имевших место на
самых популярных сайтах в мире.
Самой серьезной уязвимостью была ошибка на сайте транснациональной
инвестиционной компании ING Direct. Она могла позволить злоумышленнику
переводить средства со счетов клиентов или создавать дополнительные счета к
основным счетам жертвы. Сообщение об этом было опубликовано Биллом Зеллером на
блоге Freedom to Tinker. Реальность использования уязвимости была подтверждена
для браузеров Firefox и Internet Explorer, причем реализация протокола SSL на
сайте ING никак не препятствовала проведению атаки. В ING заделали эту дыру
после того, как Зеллер и его коллега Эд Фелтон в частном порядке сообщили им о
способе обхода защиты.
Другая махинация с межсайтовой подделкой запросов (CSRF) затрагивает сайт The
New York Times и вот уже в течение длительного времени отрицается веб-мастерами
этого ресурса. По данным экспертов, трюк с подделкой запросов позволяет хакерам
произвольно узнавать адреса пользователей сайта путем использования функции,
предназначенной для возможности рассылки читателями прочитанных ими статей NYT.
В этом месяце прошел уже ровно год с того момента, как сотрудников NYT уведомили
о наличии бага, но он все еще не устранен.
Оставшиеся две CSRF-уязвимости находились на сайтах YouTube и MetaFilter. Они
позволяли злоумышленникам проделывать всякие пакости, включая смену
email-адреса, добавление или удаление друзей и рассылку сообщений от лица других
пользователей. И YouTube и MetaFilter уже устранили эти ошибки.
В более
детальном документе (в формате PDF) Зеллер и Фелтон очертили ряд действий,
которые можно предпринять для того, чтобы не стать жертвой CSRF. Один способ
борьбы предназначен для пользователей и представляет собой дополнение к Firefox,
а второй способ доступен в виде серверного плагина для PHP MVC framework Code
Igniter.