Tweet

0

Weblek maakt grote sites onveilig

Malafide pagina misbruikt gebrek aan controle

Een beveiligingslek dat recent is ontdekt door de universiteit van Princeton maakt enkele grote sites kwetsbaar. Onder meer Youtube, Metafilter, de Amerikaanse website van ING Direct en de site van de New York Times lagen onder vuur, al hebben de meeste intussen hun voorzorgsmaatregelen genomen.

Het gaat om cross-site request forgery (CSRF), waarbij iemand de doelsite probeert te verwarren. Concreet gaat een malafide site uw browser forceren om een bepaalde handeling naar een andere (vaak beveiligde) site te sturen. Veel sites controleren echter enkel of het verzoek via uw browser komt (met een identificerende cookie) en niet of u de handeling echt hebt uitgevoerd.

Zo kan een malafide site bijvoorbeeld verzoeken sturen naar Youtube, waarbij de ontvangende site denkt dat ze van u afkomstig zijn. Volgens de universiteit gaat het om de eerste CSRF-kwetsbaarheid waarbij het op banksites mogelijk is om geld over te zetten.

Anders dan cross-site scripting
Princeton heeft bovenvermelde sites gewaarschuwd voor het openbaar maken van het lek. Toch zou de site van The New York Times nog steeds gevaar lopen. De onderzoekers benadrukken op hun blog ook dat webmasters het lek niet mogen verwarren met cross-site scripting (XSS). Hierbij kunnen hackers een pagina infecteren door bijvoorbeeld in het commentaarveld gevaarlijke code of scripts in te voeren. Een beveiliging tegen XSS volstaat echter niet om ook CSRF te voorkomen.

bron: ZDNet