Исследователь обнаружил CSRF уязвимости на многих web-сайтах

Картинка: 

Егор Хомяков представил пример CSRF атак, используя которые можно, в том числе, осуществить кражу денег.

Исследователь безопасности Егор Хомяков, который известен тем, что осуществил успешный взлом сервиса github.com, опубликовал описание CSRF уязвимостей в популярных web-ресурсах. В своем блоге он разместил примеры сценариев, используя которые, злоумышленник может, например, повысить рейтинг кинофильма на сайте kinopoisk.ru.

Так, при посещении специально сформированной страницы авторизованный в социальной сети formspring.me пользователь может без своего ведома добавить злоумышленника в список друзей. «Довольно распространенная брешь – простой способ получения тысяч фалловеров», - отметил Хомяков.

Еще один проиллюстрированный исследователем пример CSRF-атаки связан с web-сайтом moneybookers.com. В данном ресурсе примере Хомякову удалось успешно осуществить кражу денег со своей собственной учетной записи. После инцидента хакер уведомил администраторов портала, и они устранили уязвимость.

«Неважно, где находится уязвимость. Меня это уже не волнует: браузеры, приложения, программы, стандарты. Есть один факт – множество сайтов в интернете являются уязвимыми (это в 2012 году, после 11 лет). Вот и все, что я хотел объяснить и обговорить».

securitylab.ru