You are hereГруппы / Безопасность / Исследователь обнаружил CSRF уязвимости на многих web-сайтах
Исследователь обнаружил CSRF уязвимости на многих web-сайтах
Егор Хомяков представил пример CSRF атак, используя которые можно, в том числе, осуществить кражу денег.
Исследователь безопасности Егор Хомяков, который известен тем, что осуществил успешный взлом сервиса github.com, опубликовал описание CSRF уязвимостей в популярных web-ресурсах. В своем блоге он разместил примеры сценариев, используя которые, злоумышленник может, например, повысить рейтинг кинофильма на сайте kinopoisk.ru.
Так, при посещении специально сформированной страницы авторизованный в социальной сети formspring.me пользователь может без своего ведома добавить злоумышленника в список друзей. «Довольно распространенная брешь – простой способ получения тысяч фалловеров», - отметил Хомяков.
Еще один проиллюстрированный исследователем пример CSRF-атаки связан с web-сайтом moneybookers.com. В данном ресурсе примере Хомякову удалось успешно осуществить кражу денег со своей собственной учетной записи. После инцидента хакер уведомил администраторов портала, и они устранили уязвимость.
«Неважно, где находится уязвимость. Меня это уже не волнует: браузеры, приложения, программы, стандарты. Есть один факт – множество сайтов в интернете являются уязвимыми (это в 2012 году, после 11 лет). Вот и все, что я хотел объяснить и обговорить».
securitylab.ru
Похожие материалы
- Symantec: пользователи Facebook стали жертвами CSRF-атаки
- Пользователи Facebook сами того не зная делятся со спамерами анти-CSRF токенами
- Румынский исследователь обнаружил XSS уязвимость в ЖЖ
- Opera исправила критическую уязвимость в своем браузере
- Обнаружены множественные уязвимости в Smartphone Pentest Framework
Отправить комментарий