popüler sitelre CSRF saldırıları

Popüler Sitelerde CSRF Saldırıları

Daha önce color=#0000ffcross-site saldırıları ve güvenlik sanatı yazısında belirttiğimiz gibi CSRF (Cross-Site Request Forgery) saldırıları her geçen gün daha tehlikeli hale gelmekte. Özellikle arama formları, üyelik sistemleri gibi istek gönderen bölümlere sahip dinamik sayfalarda yapılan sahte (forge) istekler CSRF zaafiyetlerinin oluşmasına neden oluyor.

Bir grup güvenlik araştırmacısı bu tehlikeyi göstermek için 4 çok büyük ve popüler web sitesinde CSRF zaafiyetlerinin olduğunu gösterdi.

1. Youtube ( color=#0000ffyoutube.com)
Durum: Düzeltildi.
Popüler video paylaşım sitesi Youtube’ta CSRF saldırılarıyla bir kişinin kendisini başka bir kullanıcının arkadaş listesine ya da bir videoyu yine başka bir kullanıcının favorileri arasına eklemesi mümkün. Dahası yine bir kullanıcının hesabı ile başkalarına mesaj atılabiliyor.

2. ING Direct ( color=#0000ffingdirect.com)
Durum: Düzeltildi.
Dünyaca ünlü ING Bankasının bir servisi olan IngDirect’te CSRF saldırılarıyla ek hesaplar yaratmak ve hesaplar arası transferler yapmak mümkün.

3. Metafilter ( color=#0000ffmetafilter.com)
Durum: Düzeltildi.
Popüler weblog servisi Metafilter’da CSRF saldırılarıyla bir kullanıcı hesabı tamamen kontrol edilebilmekte. Ayrıca "şifremi unuttum" fonksiyonu ile kullanıcı şifresi saldırganın e-posta adresine gönderilebilmekte.

4. The New York Times ( color=#0000ffnytimes.com)
Durum: Henüz düzeltilmedi.
New York Times’ta hala düzeltilmeyen CSRF zaafiyetiyle herhangi bir kullanıcı e-postası bulunabilmekte. "Email This" fonksiyonundan kaynaklanan zaafiyetle birlikte binlerce kullanıcının kayıtlı e-posta adresleri spam için ya da fişlemede kullanılabilir.

Güvenlik zaafiyetleriyle ilgili daha detaylı bilgiyi color=#0000ffşu pdf dosyasında bulabilirsiniz.

Referans: color=#0000ffFreedom to Tinker