»сследователь обнаружил CSRF у€звимости на многих web-сайтах

image

“еги: CSRF, у€звимость

≈гор ’ом€ков представил пример CSRF атак, использу€ которые можно, в том числе, осуществить кражу денег.

»сследователь безопасности ≈гор ’ом€ков, который известен тем, что осуществил успешный взлом сервиса github.com, опубликовал описание CSRF у€звимостей в попул€рных web-ресурсах. ¬ своем блоге он разместил примеры сценариев, использу€ которые, злоумышленник может, например, повысить рейтинг кинофильма на сайте kinopoisk.ru.

“ак, при посещении специально сформированной страницы авторизованный в социальной сети formspring.me пользователь может без своего ведома добавить злоумышленника в список друзей. Ђƒовольно распространенна€ брешь Ц простой способ получени€ тыс€ч фалловеровї, - отметил ’ом€ков.

≈ще один проиллюстрированный исследователем пример CSRF-атаки св€зан с web-сайтом moneybookers.com. ¬ данном ресурсе примере ’ом€кову удалось успешно осуществить кражу денег со своей собственной учетной записи. ѕосле инцидента хакер уведомил администраторов портала, и они устранили у€звимость.

ЂЌеважно, где находитс€ у€звимость. ћен€ это уже не волнует: браузеры, приложени€, программы, стандарты. ≈сть один факт Ц множество сайтов в интернете €вл€ютс€ у€звимыми (это в 2012 году, после 11 лет). ¬от и все, что € хотел объ€снить и обговоритьї.

— публикацией в блоге ’ом€кова можно ознакомитьс€ здесь.


или введите им€

CAPTCHA
dar
04-04-2012 14:26:51
—транно в разных источниках зовут его по-разному) “ут —ергей, а так ≈гор...
0 |
04-04-2012 15:59:21
—пасибо, исправили. ѕриносим извинени€ ≈гору ’ом€кову.
0 |
04-04-2012 14:44:39
Ќ»„≈√ќ —≈Ѕ≈!!!! CSRF Ќј  »Ќќѕќ»— ≈!!!!!!
0 |
ѕрохожий
04-04-2012 15:46:06
ќн таки ≈гор
0 |
CHERTS
04-04-2012 21:00:11
Ќет компа с инетом - нет проблем безопасности. ј у€звимости были и будут, идеальных систем нет, и никакой кричащий с пеной у рта ≈гор ’ом€ков не заставит владельцев сайтов искать у себ€ эти у€звимости и тем более башл€ть ему за это бабло. ≈гор ’ом€ковѕодробнее: http://www.securitylab.ru/news/422678.php
0 |
05-04-2012 12:46:48
и никакой кричащий с пеной у рта ≈гор ’ом€ков не заставит владельцев »сход€ из каких слов сделан глубокомысленный вывод о "кричащем", да еще и "с пеной у рта" ≈горе?
0 |