Săn Bắn Chim Bằng Ná Cao Su Thời 4.0 Và Cái Kết_ Shop dân dụng
Hai nhà nghiên cứu Đại học Princeton đã phát hiện ra một lỗ hổng mã hoá trên một số trang web nổi bật có thể gây nguy hiểm cho dữ liệu cá nhân và trong một trường hợp đáng báo động, rút tài khoản ngân hàng.
Loại sai sót, được gọi là giả mạo yêu cầu chéo (CSRF), cho phép kẻ tấn công thực hiện các hành động trên trang web thay cho nạn nhân đã đăng nhập vào trang web.
Các lỗi của CSRF phần lớn bị các nhà phát triển Web bỏ qua do thiếu kiến thức, William Zeller và Edward Felten, tác giả của một bài báo nghiên cứu về những phát hiện của họ.
[Đọc thêm: Cách loại bỏ phần mềm độc hại từ máy tính Windows của bạn]Lỗ hổng đã được tìm thấy trên các trang Web của The New York Times; ING Direct, ngân hàng tiết kiệm của Hoa Kỳ; YouTube của Google; và MetaFilter, một trang viết blog.
Để khai thác lỗ hổng CSRF, kẻ tấn công phải tạo ra một trang Web đặc biệt và thu hút nạn nhân của trang. Trang web độc hại được mã hóa để gửi một yêu cầu chéo trang qua trình duyệt của nạn nhân vào một trang khác
Thật không may là ngôn ngữ lập trình là nền tảng của Internet, HTML giúp bạn dễ dàng thực hiện hai loại yêu cầu, cả hai đều có thể được được sử dụng cho các cuộc tấn công của CSRF, các tác giả đã viết.
Thực tế này chỉ ra cách các nhà phát triển Web đang đẩy phong bì lập trình để thiết kế các dịch vụ Web nhưng đôi khi có những hậu quả không mong đợi. "Nguyên nhân gốc rễ của CSRF và các lỗ hổng tương tự có thể nằm ở sự phức tạp của các giao thức Web ngày nay và sự tiến triển dần dần của Web từ một cơ sở dữ liệu trình bày tới một nền tảng cho các dịch vụ tương tác. "Theo một số trang Web
Một số website thiết lập một số nhận diện phiên, một phần thông tin được lưu trong một cookie, hoặc một tệp dữ liệu trong trình duyệt, khi một người đăng nhập vào trang web. Mã xác nhận phiên được kiểm tra, ví dụ: trong suốt mua hàng trực tuyến, để xác minh rằng trình duyệt tham gia vào giao dịch
Trong một cuộc tấn công CSRF, yêu cầu của hacker được chuyển qua trình duyệt của nạn nhân. Theo bài báo nghiên cứu, trang web sẽ kiểm tra bộ nhận dạng phiên, nhưng trang web không thể kiểm tra để đảm bảo yêu cầu đến từ đúng người.
Vấn đề CSRF trên trang Web The New York Times cho phép kẻ tấn công có được địa chỉ e-mail của người sử dụng đã đăng nhập vào trang web. Địa chỉ đó sau đó có thể bị spam.
Trang web của tờ báo có một công cụ cho phép người dùng đăng nhập gửi e-mail cho một người nào khác. Nếu nạn nhân truy cập, trang web của hacker tự động gửi một lệnh thông qua trình duyệt của nạn nhân để gửi một e-mail từ trang web của giấy. Nếu địa chỉ e-mail của điểm đến giống như địa chỉ e-mail của nạn nhân thì địa chỉ e-mail của nạn nhân sẽ được tiết lộ. Vào ngày 24 tháng 9, lỗ hổng này vẫn chưa được khắc phục, mặc dù các tác giả đã viết thư thông báo vào tháng 9 2007.
Vấn đề của ING có nhiều hậu quả đáng báo động hơn. Zeller và Felten đã viết một lỗ hổng CSRF cho phép một tài khoản bổ sung được tạo ra thay cho nạn nhân. Ngoài ra, kẻ tấn công có thể chuyển tiền của nạn nhân vào tài khoản của họ. ING đã khắc phục được vấn đề, họ đã viết.
Trên trang web của MetaFile, một hacker có thể lấy mật khẩu của một người. Trên YouTube, cuộc tấn công có thể thêm video vào "mục ưa thích" của người dùng và gửi cho người dùng thông tin tùy ý, cùng với các hành động khác. Trên cả hai trang này, các vấn đề của CSRF đã được khắc phục.
May mắn thay, những lỗi của CSRF rất dễ tìm và dễ khắc phục, các tác giả đưa ra các chi tiết kỹ thuật trong bài báo. Họ cũng đã tạo một trình bổ sung của Firefox bảo vệ chống lại một số cuộc tấn công CSRF nhất định.
Một ngày sau khi một công ty an ninh vô tình đưa ra các chi tiết của một lỗ hổng nghiêm trọng trong hệ thống DNS (Domain Name System), các hacker nói rằng phần mềm khai thác lỗ hổng này chắc chắn sẽ xuất hiện sớm. Dave Aitel, giám đốc công nghệ của hãng Immunity, cho biết hãng đang phát triển mã tấn công cho lỗi, và sẽ có nhiều khả năng sẽ xuất hiện trong vài ngày tới. Công ty của ông ta cuối cùng cũng sẽ phát triển mã mẫu cho phần mềm thử nghiệm Canvas của mình, một nhiệm vụ mà ông ta mong đợi
Tác giả của một công cụ hacker được sử dụng rộng rãi cho biết ông hy vọng sẽ bị khai thác vào cuối ngày thứ ba. Trong một cuộc phỏng vấn qua điện thoại, HD Moore, tác giả của phần mềm thử nghiệm xâm nhập Metasploit, đã đồng ý với Aitel rằng mã tấn công sẽ không khó để viết.
Việc đưa ra tiếng nói và tất cả các hình thức truyền thông khác trên mạng gói tin ban đầu là tiết kiệm tiền thông qua hợp nhất và làm cho CNTT Giancarlo cho biết, các công việc của các quản trị viên, chẳng hạn như bổ sung và di chuyển nhân viên trong hệ thống điện thoại, dễ dàng hơn. Bây giờ nó đã giúp nhân viên nói chung làm công việc của họ, ông nói. Họ cần các tính năng liên lạc thống nhất để tích hợp với các ứng dụng kinh doanh hàng ngày của họ, hiện nay bao gồm các công cụ như mạng xã hội b
Thời gian kinh tế khó khăn thực sự đòi hỏi các công cụ giao tiếp tốt hơn khi các công ty cắt giảm nhân viên và các nhân viên còn lại được yêu cầu sử dụng thời gian của họ tốt hơn, Giancarlo nói. Nhưng ông tin rằng Avaya và các nhà cung cấp khác đã giảm ngắn về tính dễ sử dụng. Vì lý do đó, công ty đã tổ chức lại tổ chức phát triển sản phẩm của mình để tập trung nhiều hơn vào nhu cầu và giao diện người dùng. "Các kỹ sư sẽ không còn ảnh hưởng hoặc nói gì đến cách mà sản phẩm của họ xuất hiện với t
Là một tính năng thử nghiệm cho phép bạn khởi chạy một trang web trong các thùng chứa để giúp bạn tách chúng khỏi nhau theo nhiều cách khác nhau (gán nhãn tùy chỉnh cho mỗi vùng chứa hoặc sử dụng các tab được mã hóa màu). Nếu được bật, nó cho phép người dùng đăng nhập vào nhiều tài khoản trên cùng một trang web, song song. Làm thế nào nó có thể làm được? Đơn giản, bằng cách hướng dẫn các thùng chứa để lưu trữ cookie một cách riêng biệt. Khi thực hiện, các rào cản trên luồng dữ liệu trên các tran
Trong khi sử dụng