गंभीर कोडिंग प्रवाह के लिए प्रमुख वेब साइटें मिली

दो प्रिंसटन विश्वविद्यालय के शिक्षाविदों ने कई प्रमुख वेब साइटों पर एक प्रकार का कोडन दोष पाया है जो व्यक्तिगत डेटा को खतरे में डाल सकता है और एक खतरनाक मामले में, एक बैंक खाता नाली कर सकता है।

दोष का प्रकार, जिसे क्रॉस-साइट अनुरोध जालसाजी कहा जाता है (सीएसआरएफ), एक हमलावर को उस पीड़ित की ओर से एक वेब साइट पर कार्रवाई करने की अनुमति देता है जो साइट में पहले से लॉग इन है।

ज्ञान की कमी के कारण सीएसआरएफ की त्रुटियों को वेब डेवलपर्स द्वारा बड़े पैमाने पर नजरअंदाज किया गया है, विलियम जेलेर और एडवर्ड फेल्टेन, जिन्होंने अपने निष्कर्षों पर शोध पत्र लिखा।

[और पठन: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

द न्यू यॉर्क टाइम्स की वेबसाइट पर दोष पाया गया; आईएनजी डायरेक्ट, एक यू.एस. बचत बैंक; Google का यूट्यूब; और मेटाफिल्टर, एक ब्लॉगिंग साइट।

एक सीएसआरएफ दोष का फायदा उठाने के लिए, एक हमलावर को एक विशेष वेब पेज बनाना होगा और पेज पर एक शिकार को लुभाने चाहिए। दुर्भावनापूर्ण वेब साइट को किसी अन्य साइट पर पीड़ित के ब्राउज़र के माध्यम से एक क्रॉस-साइट अनुरोध भेजने के लिए कोडित किया जाता है।

दुर्भाग्यवश, प्रोग्रामिंग भाषा, जो इंटरनेट को एचटीएमएल के अधीन करती है, दो प्रकार के अनुरोधों को करना आसान बनाती है, दोनों सीएसआरएफ के हमलों के लिए इस्तेमाल किया गया, लेखक ने लिखा।

यह तथ्य बताता है कि वेब डेवलपर्स वेबवेस्टर डिजाइन करने के लिए प्रोग्रामिंग लिफाफा कैसे खड़े कर रहे हैं, लेकिन कभी-कभी अनपेक्षित परिणामों के साथ।

"सीएसआरएफ और इसी प्रकार के कमजोरियों का मूल कारण शायद आज के वेब प्रोटोकॉल की जटिलताओं और इंटरैक्टिव सेवाओं के लिए एक मंच के लिए एक डेटा प्रस्तुति सुविधा से वेब का क्रमिक विकास, "कागज के अनुसार।

कुछ वेब साइटों ने एक सत्र पहचानकर्ता सेट किया, कुकी में संग्रहीत जानकारी का एक टुकड़ा, या ब्राउज़र में डेटा फ़ाइल, जब कोई व्यक्ति साइट पर लॉग करता है उदाहरण के लिए, एक ऑनलाइन खरीद के दौरान, सत्र पहचानकर्ता को यह सत्यापित करने के लिए कि लेनदेन में लगे ब्राउज़र।

सीएसआरएफ हमले के दौरान, हैकर का अनुरोध पीड़ित के ब्राउज़र के माध्यम से पारित किया जाता है। वेब साइट सत्र पहचानकर्ता की जांच करता है, लेकिन साइट यह सुनिश्चित करने के लिए जांच नहीं कर सकती कि अनुरोध सही व्यक्ति से आया है।

शोध पत्र के अनुसार, न्यूयॉर्क टाइम्स की वेब साइट पर सीएसआरएफ समस्या, एक हमलावर को प्राप्त करने की अनुमति देता है उपयोगकर्ता के ई-मेल पते जो साइट में लॉग इन हैं। उस पते को तब संभवतः स्पैमयुक्त किया जा सकता है।

अखबार की वेब साइट का एक ऐसा टूल है जो लॉग-इन उपयोगकर्ताओं को किसी और को कहानी को ई-मेल करता है। अगर पीड़ित व्यक्ति का दौरा किया जाता है, तो हैकर की वेबसाइट स्वचालित रूप से पीड़ित के ब्राउज़र के माध्यम से एक आदेश भेजती है ताकि पेपर के वेब साइट से ई-मेल भेज सके। यदि गंतव्य ई-मेल पता हैकर के समान है, तो पीड़ित का ई-मेल पता सामने आएगा।

सितंबर 24 तक, दोष तय नहीं किया गया था, हालांकि लेखकों ने लिखा था कि वे सितंबर में अखबार को अधिसूचित करते हैं 2007.

आईएनजी की समस्या में अधिक खतरनाक परिणाम थे। ज़ेल्रर और फेल्टेन ने लिखा कि सीएसआरएफ के दोष से पीड़ित की ओर से एक अतिरिक्त खाता बनाया जा सकता है। इसके अलावा, एक हमलावर शिकार के पैसे को अपने खाते में स्थानांतरित कर सकता है। आईएनजी ने तब से समस्या तय की है, उन्होंने लिखा है।

मेटाफ़ाइल की वेब साइट पर, एक हैकर एक व्यक्ति का पासवर्ड प्राप्त कर सकता है यूट्यूब पर, एक हमले एक उपयोगकर्ता के "पसंदीदा" में वीडियो जोड़ सकता है और अन्य कार्यों के बीच उपयोगकर्ता की ओर से मनमाना संदेश भेज सकता है। दोनों साइटों पर, सीएसआरएफ की समस्याओं को तय किया गया है।

सौभाग्य से, सीएसआरएफ की खामियां आसानी से मिलती हैं और उन्हें ठीक करना आसान होता है, जो लेखक अपने कागज में तकनीकी विवरण देते हैं। उन्होंने एक फ़ायरफ़ॉक्स ऐड-ऑन भी बनाया है जो कुछ प्रकार के सीएसआरएफ हमलों के खिलाफ है।